Category Official Training Course Provided vendor OpenText Level 中級 (Intermediate) Hours per Day / Days 8時間 / 4日間 CPE Credits あり (32points)

様々なデータ形式や証拠の状況に応じた解析手法を習得するOpenText公認コース

EnCaseの機能を活用し、暗号化やパーティションの状況解析をはじめ、Windows OSのアーティファクト・レジストリ・複合ファイル・メール・Webブラウザなど、様々なアーティファクトに対しより専門的な解析手法を習得できるハンズオントレーニングです。

 

 

コースの目的

• BitLockerで暗号化されたボリュームに対する処理方法の習得
• ボリュームの検知と復元方法の習得
• レジストリ・複合ファイルの展開と内蔵データの解析方法の習得
• Conditionの理解と作成方法の習得
• 仮想ディスク機能の理解
• Windows OSのアーティファクトの理解と解析方法の習得
  • CortanaとEDBアーティファクト
  • リンクファイル
  • USBストレージデバイスの接続
  • ゴミ箱
  • Print Spool
• Email、Webブラウザの使用により生成・蓄積されたデータの解析方法の習得
• Data Carvingの理解と解析方法の習得

 

 

受講対象者

• Windows OSの様々なアーティファクトに対し解析される方
• ボリューム全体の暗号化やパーティションの無効化等、特殊な状況下のドライブ・データに対し解析される方
• EnCaseの様々な機能を活用し、素早く目的のデータに絞り込むための知識と技術を必要とする方

 

 

開講日程（2020年度）

開催日時 開催場所 申込状況 2021年3月2日 ～ 5日 お問い合わせください 間もなく満席です

 

 

コーススケジュール

【1日目】
Lesson 1: EnCase Forensic V8の概要と設定	コースの紹介とセットアップ ケースの新規作成 ケースの保存 オプションの変更
Lesson 2: BitLocker	Windows BitLocker™について EnCaseで認識される暗号化プログラム
Lesson 3: ボリュームの復元	ディスクの構造 パーティションとボリュームの情報 NTFSのVolume Boot Record (VBR) プライマリパーティション vs. 拡張パーティション
Lesson 4: 複合ファイルの解析	レジストリファイル OLEファイル ZIPアーカイブ
Lesson 5: Windows® Registry	Windows® Registryの理解 “HKEY_LOCAL_MACHINE”ハイブ “HKEY_Users”ハイブ ユーザ設定
Lesson 6: タイムゾーン設定	タイムゾーン設定について “TZRES.DLL”について
Lesson 7: Conditions	Conditions概要 Conditionsの作成
Lesson 8: 演習
【2日目】
Lesson 9: exFAT, NTFS	exFAT概要 － exFATボリューム上でのファイルの削除 NTFS概要
Lesson 10: Physical Disk Emulator(PDE) モジュール	Physical Disk Emulator (PDE) について PDEがサポートする証拠ファイル形式 PDEの使用 PDEの活用例 － サードパーティ製ツールの使用 － マルウェアスキャン － テンポラリファイルの活用
Lesson 11: Windowsアーティファクト	ユーザのファイル・フォルダ構造 システムのファイル・フォルダ構造
Lesson 12: CortanaとEDBアーティファクト	“Windows.edb”（Windows Searchのデータベースファイル）の解析 Cortana
Lesson 13: 演習
【3日目】
Lesson 14: ショートカット（LNKファイル）	ショートカット（LNKファイル）概要 MountedDevices Case Analyzerの活用
Lesson 15: リムーバブルUSBデバイスの識別	リムーバブルUSBデバイスの概要 － リムーバブルUSBデバイスに含まれる情報 － リムーバブルUSBデバイスに含まれる情報の読み方 Windowsが保持するリムーバブルUSBデバイス情報
Lesson 16: ごみ箱（Recycle Bin）	ごみ箱（Recycle Bin）概要 － “$Recycle.Bin”とユーザプロファイル MFTエントリへの影響 MFTのレコード情報の変更 レジストリ設定
Lesson 17: Email	Email解析とは － Emailのスレッド － Emailのブックマーク － 検索、絞り込み －タグ付け
Lesson 18: Internet Artifacts	Webブラウザ使用時に生成されるアーティファクトについて － Web閲覧履歴 － Webキャッシュ 各Webブラウザの情報 － Internet Explorer － Mozilla Firefox － Google Chrome
【4日目】
Lesson 19: GREP検索	GREP検索概要 GREP検索の構文例
Lesson 20: プリントスプールのアーティファクト	“SHD”ファイル “SPL”ファイル ファイルの格納場所 EnScriptを使用した自動化
Lesson 21: 未割当領域の検索	“JPEG”ファイルのヘッダを使用した手動のファイル検索と復元 File Carverを使用した”JPEG”ファイルののファイル検索と復元
Lesson 22: レポートの作成 – Advanced	ケーステンプレート – レポートフォーマットのカスタマイズ Flexibleテンプレート Triageレポート “Basic”レポートテンプレートの構造 “Report”もしくは“Section”のテンプレートへの追加 タイトルページの更新 ブックマークフォルダの追加もしくは更新 “Picture”セクションフォーマットの更新 レポートへのファイルの埋め込み 画像の表示／非表示の切り替え レポートのエクスポート テンプレートの保存
※ 進行の度合いにより、実施Moduleの入れ替え、もしくは実施日時が前後することがあります。

 

 

受講・開講における注意事項

• 本コースは、OpenText社指定のカリキュラムに沿って実施されます。
• 一定時間を超える離席（遅刻、早退、欠席を含む）の場合、証書が発行されない、またはCPE Creditが発行されない（または減数される）場合があります。
• 本コースは、5名以上のご参加により開講します。開講30日前までに5名に満たなかった場合、コースの開講が中止となる場合があります。
• 本コースを受講される方は、以下の条件を必ず満たす必要があります。
  • DF120もしくはCF I を受講済みであること
  • EnCEを取得済みであること
• その他、受講条件・環境・開催場所・使用ツールなどにつきましては、お問い合わせください。