Category Original Training Course Provided vendor － Level 初級 ～ 上級 Hours per Day / Days 7時間 / 1日間 ～ 4日間 CPE Credits なし Course Code QFT210

Windows OSの環境設定・ユーザーの行動履歴解析能力向上のためのコース

Windws OSの環境設定やユーザーの行動履歴を記録するレジストリを調査・解析する上で、 必要な知識及び解析する手法を、フォレンジック解析ツールを使用して習得するためのハンズオントレーニングコースです。

“QFT210: Windows Registry Forensics”は、以下のようにレベル分けのコースで構成されています。

• QFT210: Windows Registry Forensics … 以下の3コース全てを含めた、計4日間のWindows Registryの解析手法を学習する総合的なコースです。
  • QFT211: Windows Registry Forensics（初級） … フォレンジック・ツールの自動パース機能で解析可能な範囲を中心に、レジストリについて、レジストリ解析で分かることを解説する初級者向けコースです。
  • QFT212: Windows Registry Forensics（中級） … 初級コースを含む、フォレンジック調査において重要となるレジストリ・データを網羅的に解析するための技術を身に着ける中級者向けコースです。
  • QFT213: Windows Registry Forensics（上級） … 削除もしくは隠蔽されたレジストリ・データの検出と復元、過去のレジストリ・データとの比較検証等、レジストリに関する高度な解析技術を学ぶ上級者向けコースです。

 

 

コースの目的

QFT211: Windows Registry Forensics（初級）：1日間コース

• “Windows Registry”の役割・特徴・構造・状態の把握の理解、及び解析上の注意点の理解
• 解析ツール、及び自動パースによって得られるデータの理解、初動対応への活用の習得

QFT212: Windows Registry Forensics（中級）：2日間コース

• 以下のレジストリ・データに記録されている情報の把握、及び効果的な解析手法の習得：
  • SAM / SOFTWARE / SYSTEM / NTUSER.DAT / UsrClass.dat

QFT213: Windows Registry Forensics（上級）：1日間コース

• 過去のレジストリ・データの検知と復元方法の習得
• レジストリ・データの構造の理解、削除されたレジストリ・データの検知方法の習得
• メモリなどの揮発性データにロードされたレジストリの解析方法の習得

 

 

受講対象者

QFT211: Windows Registry Forensics（初級）

• 効果的、且つ迅速にインシデントに対する初動対応を必要とする方
• 初めてレジストリを調査される方、もしくはレジストリの基礎を身につけたい方

QFT212: Windows Registry Forensics（中級）

• フォレンジック調査・サイバーセキュリティ業務で効果的にレジストリを調査される方

QFT213: Windows Registry Forensics（上級）

• 解析対象Windows OSの、過去の設定やユーザーの行動履歴を調査する必要がある方
• 揮発性情報にロードされた情報から、現在進行状態のデータを調査する必要がある方

 

 

開講日程（2024年度）

開催日時 対象コース 開催場所 申込状況 2025年2月19日 ～ 21日 QFT210 (QFT211 + QFT212) 当社セミナールーム お申込受付中

※ お申込み状況により、開催日時・開催場所が変更される場合があります。

 

 

コーススケジュール

	QFT211: Windows Registry Forensics 初級	QFT212: Windows Registry Forensics 中級	QFT213: Windows Registry Forensics 上級
1日目	レジストリの目的と性質 レジストリの基本構造と用語 レジストリ調査の重要性 レジストリ調査のポイント レジストリ調査における注意点 各解析用ツール 各Windows Registry調査の自動パース機能 自動パース対象 パースによって得られる情報 得られる情報から言えること	レジストリ調査概要 SAM SIDについて ユーザーアカウント情報の解析 SOFTWARE Windows OSのインストール状況 無線ネットワーク設定	過去のレジストリ：RegBack 過去のレジストリ：各レジストリの“LOG”ファイル 過去のレジストリ：Volume Shadow Copy (VSS) 削除レジストリの検知と復元：“regf”と“hbin” 削除レジストリの検知と復元：各値の記録場所と検出方法 メモリ解析：メモリにロードされたレジストリの解析
2日目		SYSTEM デバイスの接続状況 各種サービスについて  NTUSER.DAT UserAssist 各種MRU情報 UsrClass.dat ShellBags Windows OSのバージョンによる違い

 

 

受講・開講における注意事項

• 本コースは、各フォレンジック・ツールのメーカー認定のトレーニングコースではありません。
• 本コースは、5名以上のご参加により開講します。開講30日前までに5名に満たなかった場合、コースの開講が中止となる場合があります。
• 各コース受講において、以下のコースを事前に受講されることをお勧めします：
  • QFT212: Windows Registry Forensics（中級） 
    • QFT211: Windows Registry Forensics（初級）
    • QFT110: フォレンジックツール：操作（1日コース ～ 2日コース）
    • FTK Core
    • DF120: Foundations in Digital Forensics with EnCase
    • DF210: Building an Investigation with EnCase
    • QFT211: Windows Registry Forensics（初級）
  • QFT213: Windows Registry Forensics（上級）
    • QFT212: Windows Registry Forensics（中級）
• その他、受講条件・環境・開催場所・使用ツールなどにつきましては、お問い合わせください。