QualityNet サイバーフォレンジック事業部

03-6260-9237

営業時間(9:00~17:30)定休日(土曜・日曜・祝祭日)

カタログ
ダウンロード
お問い合わせ

DF210: Building an Investigation with EnCase - トレーニング

ホーム > トレーニング > DF210: Building an Investigation with EnCase

DF210: Building an Investigation with EnCase

トレーニング

Category Official Training Course
Provided vendor OpenText
Level 中級 (Intermediate)
Hours per Day / Days 8時間 / 4日間
CPE Credits あり (32points)

様々なデータ形式や証拠の状況に応じた解析手法を習得するOpenText公認コース

EnCaseの機能を活用し、暗号化やパーティションの状況解析をはじめ、Windows OSのアーティファクト・レジストリ・複合ファイル・メール・Webブラウザなど、様々なアーティファクトに対しより専門的な解析手法を習得できるハンズオントレーニングです。

 

 

コースの目的

  • BitLockerで暗号化されたボリュームに対する処理方法の習得
  • ボリュームの検知と復元方法の習得
  • レジストリ・複合ファイルの展開と内蔵データの解析方法の習得
  • Conditionの理解と作成方法の習得
  • 仮想ディスク機能の理解
  • Windows OSのアーティファクトの理解と解析方法の習得
    • CortanaとEDBアーティファクト
    • リンクファイル
    • USBストレージデバイスの接続
    • ゴミ箱
    • Print Spool
  • Email、Webブラウザの使用により生成・蓄積されたデータの解析方法の習得
  • Data Carvingの理解と解析方法の習得

 

 

受講対象者

  • Windows OSの様々なアーティファクトに対し解析される方
  • ボリューム全体の暗号化やパーティションの無効化等、特殊な状況下のドライブ・データに対し解析される方
  • EnCaseの様々な機能を活用し、素早く目的のデータに絞り込むための知識と技術を必要とする方

 

 

開講日程(2024年度)

開催日時 開催場所 申込状況
お問い合わせください お問い合わせください お問い合わせください

※ お申込み状況により、開催日時・開催場所が変更される場合があります。

 

 

コーススケジュール

【1日目】
Lesson 1:
EnCase Forensic V8の概要と設定
  • コースの紹介とセットアップ
  • ケースの新規作成
  • ケースの保存
  • オプションの変更
Lesson 2:
BitLocker
  • Windows BitLocker™について
  • EnCaseで認識される暗号化プログラム
Lesson 3:
ボリュームの復元
  • パーティションの構成
  • パーティションとボリュームの情報
  • NTFSのVolume Boot Record (VBR)
  • MBR方式とGPT方式のパーティショニング
  • “Partition Finder” EnScript
Lesson 4:
複合ファイルの解析
  • レジストリファイル
  • OLEファイル
  • ZIPアーカイブ
Lesson 5:
タイムゾーン設定
  • タイムゾーン設定について
  • “TZRES.DLL”について
Lesson 6:
Windows® Registry
  • Windows® Registryの理解
    - “HKEY_LOCAL_MACHINE”ハイブ
    - “HKEY_Users”ハイブ
  • ユーザ設定
Lesson 7: 演習
【2日目】
Lesson 8:
Conditions応用
  • コンディションとフィルターの設定
  • 特殊なコンディションの設定
Lesson 9:
exFAT, NTFS
  • exFAT概要
    - Data Storage: exFATにおけるファイルの削除
  • NTFS概要
Lesson 10:
Windowsアーティファクト
  • ユーザープロファイル領域
  • システム領域
Lesson 11:
ショートカット(LNK Files)
  • ショートカット(LNK Files)について
  • Case Analyzer
【3日目】
Lesson 12:
USBストレージデバイスの識別
  • USBストレージデバイスの概要
    - USBストレージデバイスに含まれる情報
    - USBストレージデバイスに含まれる情報の読み方
  • Windowsが保持するUSBストレージデバイス情報
Lesson 13:
ごみ箱(Recycle Bin)
  • ごみ箱(Recycle Bin)概要
    - “$Recycle.Bin”とユーザプロファイル
  • MFTエントリへの影響
  • MFTのレコード情報の変更
  • レジストリ設定
Lesson 14:
Email
  • Email解析について
    - Emailのスレッド
    - Emailのブックマーク
    - 検索、絞り込み
    -タグ付け
Lesson 15:
Internet Artifacts
  • Webブラウザ使用時に生成されるアーティファクトについて
    - Web閲覧履歴
    - Webキャッシュ
  • 各Webブラウザの情報
    - Microsoft Edge
    - Mozilla Firefox
    - Google Chrome
  • Case Analyzerの使用
Lesson 16:
Media Analyzer
  • Media Analyzerの使用
  • 処理結果の表示
  • 絞り込み
【4日目】
Lesson 17:
Windows System Database
  • Windows EDBについて
    - Windows Searchのデータベースファイル: Windows.edb
  • Skypeのデータベース解析
  • OneNote
  • Windows Sticky Notes
Lesson 18:
Print Spoolerアーティファクト
  • “SHD”ファイル
  • “SPL”ファイル
  • EnScriptを使用した自動化
Lesson 19:
未割当領域の検索
  • “JPEG”ファイルのヘッダを使用した手動のファイル検索と復元
  • File Carverを使用した”JPEG”ファイルののファイル検索と復元
  • 圧縮された復号ファイルの復元 – Word DOCX
Lesson 20:
Physical Disk Emulator(PDE) モジュール
  • Physical Disk Emulator (PDE) について
  • PDEがサポートする証拠ファイル形式
  • PDEの使用
  • PDEの活用例
    - サードパーティ製ツールの使用
    - マルウェアスキャン
    - テンポラリファイルの活用
Lesson 21:
レポートの作成 – Advanced
  • ケーステンプレート – レポートフォーマットのカスタマイズ
  • “Flexible”テンプレート
  • Triageレポート
  • “Basic”レポートテンプレートの構造
  • “Report”もしくは“Section”のテンプレートへの追加
  • タイトルページの更新
  • ブックマークフォルダの追加もしくは更新
  • “Picture”セクションフォーマットの更新
  • レポートへのファイルの埋め込み
  • 画像の表示/非表示の切り替え
  • レポートのエクスポート
  • テンプレートの保存
※ 進行の度合いにより、実施Moduleの入れ替え、もしくは実施日時が前後することがあります。

 

 

受講・開講における注意事項

  • 本コースは、OpenText社指定のカリキュラムに沿って実施されます。
  • 一定時間を超える離席(遅刻、早退、欠席を含む)の場合、証書が発行されない、またはCPE Creditが発行されない(または減数される)場合があります。
  • 本コースは、5名以上のご参加により開講します。開講30日前までに5名に満たなかった場合、コースの開講が中止となる場合があります。
  • 本コースを受講される方は、以下の条件を必ず満たす必要があります。
    • DF120もしくはCF I を受講済みであること
    • EnCEを取得済みであること
  • その他、受講条件・環境・開催場所・使用ツールなどにつきましては、お問い合わせください。

 

 

製品・サービス等に関するお問い合わせはこちら

クオリティネット株式会社 サイバーフォレンジック事業部

03-6260-9237

営業時間:
9:00~17:30
定休日:
毎週土曜・日曜
メールでのお問合せはこちら

関連製品

TOP