Windows Memory Forensics & Malware Analysis

Wat er in het geheugen van een systeem zit, vertelt het verhaal dat logs en schijven achterlaten. In deze intensieve 5-daagse opleiding leer je Windows-geheugen forensisch analyseren op het hoogste niveau — van acquisitie tot geavanceerde malware-detectie.

  • Vereiste: ervaring met DFIR, Windows, Linux en Python — dit is een experttraject.
  • 50 uur intensieve praktijktraining met echte malware-samples en open-source tooling: Volatility, IDA Pro, x64dbg en YARA.
  • Direct inzetbaar voor complexe geheugenanalyse, insider-dreigingen en geavanceerde incidentrespons.
  • Meer dan de helft van de opleiding bestaat uit praktijklabs met echte en malware-geïnfecteerde geheugenimages.

Eerstvolgende startdata

2 december 2026
Vol

Voor wie is deze opleiding?

Voor DFIR-professionals die geheugenanalyse willen beheersen op het niveau waarop moderne aanvallers opereren.

CARRIÈRESWITCHER

Je voert forensisch onderzoek uit maar analyseert nog geen volatile memory. Daarmee mis je het bewijs dat alleen in RAM bestaat: actieve processen, verborgen code en gebruikershandelingen die nergens anders zichtbaar zijn.

IT PROFESSIONAL

Je handelt complexe incidenten af en wilt de volledige aanvalsketen reconstrueren. Geheugenanalyse geeft je het ontbrekende puzzelstuk — wat draaide er op het moment van compromittering, en hoe heeft de aanvaller zich verborgen?

STARTER

Je opereert op senior niveau en wilt geavanceerde rootkits, anti-forensic technieken en post-exploit modules herkennen en analyseren. Deze opleiding geeft je de diepgang om aanvallers te achterhalen die bewust volatile data manipuleren of vernietigen.

Wat ga je leren?

Geen theorie voor de theorie. Je werkt vanaf dag één met echte malware-samples en forensische geheugenimages — ontwikkeld met en gevalideerd door experts uit de veiligheidssector.
GEHEUGENACQUISITIE & VALIDATIE

Je leert geheugen veilig en forensisch correct vastleggen — van live triage tot volledige geheugenimages. Je valideert de integriteit van acquisities en begrijpt de werking van Windows-geheugenstructuren op internaal niveau: processen, handles, DLL's en kernelstructuren.

MALWARE-DETECTIE IN GEHEUGEN

Je spoort verborgen en kwaadaardige code op in geheugenopnames. Je detecteert code-injectie, hollow process injection en API-hooks, onderzoekt kernel-rootkits en maakt zelfverdedigingstechnieken van geavanceerde malware zichtbaar die anti-forensic methoden inzetten.

STATISCHE & DYNAMISCHE MALWARE-ANALYSE

Je analyseert kwaadaardige executables statisch en dynamisch. Je inspecteert PE-headers, extraheert strings, classificeert malware met YARA en volgt C2-communicatie, persistence-methoden en obfuscatietechnieken. Tools: IDA Pro, x64dbg, YARA, procesmonitors.

GEAVANCEERDE DREIGINGSANALYSE

Je leert beveiligingsincidenten detecteren en afhandelen in AWS en Azure — van IAM-misconfiguraties tot containerbeveiliging. Daarnaast gebruik je AI-tools om sneller queries te schrijven, incidenten samen te vatten en rapportages te genereren die direct geschikt zijn voor management.

Opbouw van de opleiding

2 modules, 50 uur, 5 dagen. Opgebouwd van praktische malware-analyse tot geavanceerde geheugenforensics. Alle onderdelen worden intensief geoefend met echte en malware-geïnfecteerde geheugenimages.
MALWARE-ANALYSE

Je bouwt een volledige basis in malware-analyse. Je richt een veilige laboratoriumomgeving in en voert statische en dynamische analyse uit op echte malware-samples. Je leert assembly-code lezen met IDA Pro, analyseert malware-functionaliteit — downloaders, droppers, keyloggers, C2-communicatie en persistence — en herkent code-injectie, hooking en obfuscatie. Elke sectie bevat demonstraties en praktijklabs met echte malware-samples. Duur: dag 1-3.

WINDOWS GEHEUGENFORENSICS

Je voert forensisch geheugenonderzoek uit op het hoogste niveau. Je neemt geheugenimages forensisch correct af, analyseert deze met Volatility en reconstrueert wat er op een systeem is gebeurd: processen, DLL's, netwerkverbindingen, registersleutels en opdrachthistorie. Je detecteert geavanceerde technieken zoals code-injectie, hollow process injection, API-hooks, kernel-rootkits en anti-forensic methoden. Alle onderdelen worden intensief geoefend met echte en malware-geïnfecteerde geheugenimages. Duur: dag 4-5.

Wat zet je op je CV?

Na afronding beschik je over de volgende aantoonbare vaardigheden:

  • Geheugenacquisitie en forensisch correcte validatie van geheugenimages
  • Windows-geheugeninternals: processen, DLL's, handles en kernelstructuren
  • Malware-detectie in geheugen: code-injectie, hollow process injection, API-hooks en rootkits
  • Statische en dynamische malware-analyse: IDA Pro, x64dbg, YARA
  • Geavanceerde dreigingsanalyse: C2-identificatie, persistence en anti-forensic technieken
  • Indicators of Compromise opstellen en vertalen naar incidentrespons
  • Direct inzetbaar voor complexe DFIR-onderzoeken, insider-dreigingen en geavanceerde incidentrespons

Onderzoekers die geen volatile memory analyseren, laten het meest waardevolle bewijsmateriaal liggen. Na deze opleiding niet meer.

Wat krijg je voor je investering?

€— excl. btw
Duur 50 academische uren
Studiebelasting 16–40 uur per week
Lesvorm online
Locatie Schiphol-Rijk

Inbegrepen

LeervormUrenDurationDagen
Aaneengesloten week32 hours5 dagen5 dagen
Gespreid schema16 hoursFlexible2–3 dagdelen/week
  • Ontwikkeld door specialisten uit de veiligheidsdiensten
  • Praktijklabs met echte malware-samples en forensische geheugenimages — geen gesimuleerde omgevingen
  • Persoonlijke begeleiding en coaching gedurende de hele opleiding
  • Toegang tot ons alumni-netwerk — voor kennisdeling en blijvende groei binnen de DFIR-community

Flexible payment options

Finance4Learning

Via Finance4Learning kun je je investering eenvoudig spreiden. De aanvraag verloopt snel en we denken graag mee over wat bij jouw situatie past. De uiteindelijke goedkeuring hangt af van je persoonlijke omstandigheden.

WERKGEVER BETAALT

Veel werkgevers vergoeden de opleiding volledig. Wij leveren een onderbouwd voorstel aan.

TEAM-OFFERTE

Open klassen voor individuele medewerkers, of een teamtraject op maat. We maken een onderbouwd voorstel.

Eerstvolgende startdata.

2 december 2026
Vol

Veelgestelde vragen

Voor deelname is ervaring met forensics en incidentrespons vereist, gecombineerd met diepgaande kennis van Windows, goede Linux-kennis en praktijkervaring met Python. Dit is een experttraject — geen instapniveau.

De lessen zijn in het Nederlands. De leerstof, tools en examens zijn in het Engels — wat in de praktijk ook de standaard is binnen het vakgebied. Een solide leesvaardigheid in het Engels is voldoende om te starten. Een paar keer per jaar starten wij ook een volledig Engelstalige klas — neem contact op voor de data.

Je brengt al een sterke basis mee — dat is je grootste voordeel. Deze opleiding bouwt verder op bestaande kennis en ervaring, waardoor de leerstof snel beklijft. Wat we wél bieden: persoonlijke begeleiding, kleine groepen en intensieve praktijklabs die direct aansluiten op je dagelijkse werk. De stap naar dit niveau is groot, maar met de juiste achtergrond zeer goed haalbaar.

De opleiding omvat 50 studieuren, verdeeld over 5 intensieve dagen. Je kunt kiezen voor een aaneengesloten week of een gespreid schema — bijvoorbeeld 3 blokken van 2 dagen over 3 weken, inclusief tijd voor verwerking en herhaling tussen de sessies door. De exacte invulling is bespreekbaar.

Deze opleiding is niet geschikt als je nog geen ervaring hebt met DFIR, forensics of incidentrespons. Zonder die basis gaat de technische diepgang te snel. Twijfel je of je klaar bent? Neem contact op — we denken graag mee.

Moderne malware gebruikt zelfverdedigingstechnieken die volatile data actief manipuleren of vernietigen. De meeste opleidingen leren je werken met schijven en logs — wij leren je wat er in het geheugen zit op het moment van aanval. Dat is het bewijsmateriaal dat het verschil maakt tussen een volledige reconstructie en een blinde vlek.

Klaar voor de volgende stap?

Plan een vrijblijvend gesprek of bekijk de startdata.

Windows Memory Forensics & Malware Analysis

Vul je gegevens in en we nemen binnen één werkdag contact met je op. Samen bespreken we of deze opleiding past bij jouw situatie. Je legt nog niets vast

Door je gegevens te delen ontvang je eens per maand onze nieuwsbrief met startdata en cybersecurity-inzichten. Uitschrijven kan op elk moment.