Wat er in het geheugen van een systeem zit, vertelt het verhaal dat logs en schijven achterlaten. In deze intensieve 5-daagse opleiding leer je Windows-geheugen forensisch analyseren op het hoogste niveau — van acquisitie tot geavanceerde malware-detectie.
Je voert forensisch onderzoek uit maar analyseert nog geen volatile memory. Daarmee mis je het bewijs dat alleen in RAM bestaat: actieve processen, verborgen code en gebruikershandelingen die nergens anders zichtbaar zijn.
Je handelt complexe incidenten af en wilt de volledige aanvalsketen reconstrueren. Geheugenanalyse geeft je het ontbrekende puzzelstuk — wat draaide er op het moment van compromittering, en hoe heeft de aanvaller zich verborgen?
Je opereert op senior niveau en wilt geavanceerde rootkits, anti-forensic technieken en post-exploit modules herkennen en analyseren. Deze opleiding geeft je de diepgang om aanvallers te achterhalen die bewust volatile data manipuleren of vernietigen.
Je leert geheugen veilig en forensisch correct vastleggen — van live triage tot volledige geheugenimages. Je valideert de integriteit van acquisities en begrijpt de werking van Windows-geheugenstructuren op internaal niveau: processen, handles, DLL's en kernelstructuren.
Je spoort verborgen en kwaadaardige code op in geheugenopnames. Je detecteert code-injectie, hollow process injection en API-hooks, onderzoekt kernel-rootkits en maakt zelfverdedigingstechnieken van geavanceerde malware zichtbaar die anti-forensic methoden inzetten.
Je analyseert kwaadaardige executables statisch en dynamisch. Je inspecteert PE-headers, extraheert strings, classificeert malware met YARA en volgt C2-communicatie, persistence-methoden en obfuscatietechnieken. Tools: IDA Pro, x64dbg, YARA, procesmonitors.
Je leert beveiligingsincidenten detecteren en afhandelen in AWS en Azure — van IAM-misconfiguraties tot containerbeveiliging. Daarnaast gebruik je AI-tools om sneller queries te schrijven, incidenten samen te vatten en rapportages te genereren die direct geschikt zijn voor management.
Je bouwt een volledige basis in malware-analyse. Je richt een veilige laboratoriumomgeving in en voert statische en dynamische analyse uit op echte malware-samples. Je leert assembly-code lezen met IDA Pro, analyseert malware-functionaliteit — downloaders, droppers, keyloggers, C2-communicatie en persistence — en herkent code-injectie, hooking en obfuscatie. Elke sectie bevat demonstraties en praktijklabs met echte malware-samples. Duur: dag 1-3.
Je voert forensisch geheugenonderzoek uit op het hoogste niveau. Je neemt geheugenimages forensisch correct af, analyseert deze met Volatility en reconstrueert wat er op een systeem is gebeurd: processen, DLL's, netwerkverbindingen, registersleutels en opdrachthistorie. Je detecteert geavanceerde technieken zoals code-injectie, hollow process injection, API-hooks, kernel-rootkits en anti-forensic methoden. Alle onderdelen worden intensief geoefend met echte en malware-geïnfecteerde geheugenimages. Duur: dag 4-5.
Na afronding beschik je over de volgende aantoonbare vaardigheden:
Onderzoekers die geen volatile memory analyseren, laten het meest waardevolle bewijsmateriaal liggen. Na deze opleiding niet meer.
| Leervorm | Uren | Duur | Dagen |
|---|---|---|---|
| Aaneengesloten week | 32 uur | 5 dagen | 5 dagen |
| Gespreid schema | 16 uur | Flexibel | 2–3 dagdelen/week |
Via Finance4Learning kun je je investering eenvoudig spreiden. De aanvraag verloopt snel en we denken graag mee over wat bij jouw situatie past. De uiteindelijke goedkeuring hangt af van je persoonlijke omstandigheden.
Veel werkgevers vergoeden de opleiding volledig. Wij leveren een onderbouwd voorstel aan.
Open klassen voor individuele medewerkers, of een teamtraject op maat. We maken een onderbouwd voorstel.
Voor deelname is ervaring met forensics en incidentrespons vereist, gecombineerd met diepgaande kennis van Windows, goede Linux-kennis en praktijkervaring met Python. Dit is een experttraject — geen instapniveau.
De lessen zijn in het Nederlands. De leerstof, tools en examens zijn in het Engels — wat in de praktijk ook de standaard is binnen het vakgebied. Een solide leesvaardigheid in het Engels is voldoende om te starten. Een paar keer per jaar starten wij ook een volledig Engelstalige klas — neem contact op voor de data.
Je brengt al een sterke basis mee — dat is je grootste voordeel. Deze opleiding bouwt verder op bestaande kennis en ervaring, waardoor de leerstof snel beklijft. Wat we wél bieden: persoonlijke begeleiding, kleine groepen en intensieve praktijklabs die direct aansluiten op je dagelijkse werk. De stap naar dit niveau is groot, maar met de juiste achtergrond zeer goed haalbaar.
De opleiding omvat 50 studieuren, verdeeld over 5 intensieve dagen. Je kunt kiezen voor een aaneengesloten week of een gespreid schema — bijvoorbeeld 3 blokken van 2 dagen over 3 weken, inclusief tijd voor verwerking en herhaling tussen de sessies door. De exacte invulling is bespreekbaar.
Deze opleiding is niet geschikt als je nog geen ervaring hebt met DFIR, forensics of incidentrespons. Zonder die basis gaat de technische diepgang te snel. Twijfel je of je klaar bent? Neem contact op — we denken graag mee.
Moderne malware gebruikt zelfverdedigingstechnieken die volatile data actief manipuleren of vernietigen. De meeste opleidingen leren je werken met schijven en logs — wij leren je wat er in het geheugen zit op het moment van aanval. Dat is het bewijsmateriaal dat het verschil maakt tussen een volledige reconstructie en een blinde vlek.