دوره FOR508 با هدف شناسائی تهدیدات APT طراحی شده است و هدف آن کاهش زمانی می باشد که نفوذ گر در سازمان شما رخنه کرده است و جمع آوری شواهد و مدارک بصورت اکتیو انجام می شود و منتظر  پیام سنسورها و مکانیزم های دیگر امنیت در شبکه نمی مانیم چون ممکن است حملات پیشرفته توسط ان ها شناسایی نشود

فصل اول : پاسخگویی به حوادث و شکار تهدیدات

در فصل اول دوره FOR508 افراد با مراحل Incident response آشنا می شوند و ارتباط بین شکار تهدیدات و پاسخگویی به حوادث را بررسی میکنند و در ادامه بد افزار ها پ شیوه های دائمی کردن دسترسی آن ها در APT  ها بررسی می شود و نقش VMI  در حملات  APT بررسی می شود و شیوه فارنزیک آن ها آموزش داده می شود

فصل دوم : شناسائی تهدیدات

در فصل دوم دوره شکار تهدیدات به بررسی فریم ورک ها مختلف IR می پردازد و با یکی از معروفترین آن ها که در powershell کار میکند  به صورت عملیاتی کار میکند  و در ادمه لاگ های سیستم عامل ویندوز با دید شکار تهدیدات بررسی می شود حملات مختلفی که تحت kerberos  اتفاق میفتد انجام و سپس شیوه شناسایی آن توضیح داده می شود

فصل سوم : فارنزیک مموری

در فصل سوم دوره FOR508  که بر گرفته شده از دوره مموری فارنزیک شرکت SANS  می باشد به بررسی پروسس های مخفی و فعالیت بدافزار ها مختلف در حافظه موقت می پردازد و در بخشی دیگر تکنیک شناسائی تزریق کد در پروسس های مختلف را بررسی میکند و جداول مربوط به کرنل از قبیل SSDT برای روت کیت ها بررسی می شود

فصل چهارم : بررسی  Timeline برای شکار تهدیدات

در فصل چهارم دوره FOR508 به بررسی شواهد و مدارک مختلف و ارتباط آن ها با یکدیگر در یک Timeline می پردازیم که این کار یکی از اصلی ترین مراحلی می باشد که در شکار تهدیدات باید انجام شود تا ارتباط بین artifacts های مختلف به ترتیب زمانی مشخص شود

فصل پنجم :  بررسی تکنیک های Anti-forensic و تکنیک های پاک کردن ردپای APT

در حملات APT  با  توجه به اینکه دولت های مختلف پشت سر آن هستند از تکنیک مختلفی جهت پاک کردن رد پا استفاده می شود و این کار فارنزیک را سخت تر و در بسیاری مواقعی غیر ممکن می سازد در این بخش با بررسی فایل سیستم  NTFS می توانیم به اطلاعات مفیدی دست پیدا کنیم جداول مختلفی که در فایل سیستم NTFS و جود دارد که اطلاعاتی مربوط به MACB  , نام فایل و مسیر اجرایی آن فایل وجود دارد