Category Official Training Course Provided vendor OpenText Level 中級 (Intermediate) Hours per Day / Days 8時間 / 4日間 CPE Credits あり (32points)

様々なデータ形式や証拠の状況に応じた解析手法を習得するOpenText公認コース

EnCaseの機能を活用し、暗号化やパーティションの状況解析をはじめ、Windows OSのアーティファクト・レジストリ・複合ファイル・メール・Webブラウザなど、様々なアーティファクトに対しより専門的な解析手法を習得できるハンズオントレーニングです。

 

 

コースの目的

• BitLockerで暗号化されたボリュームに対する処理方法の習得
• ボリュームの検知と復元方法の習得
• レジストリ・複合ファイルの展開と内蔵データの解析方法の習得
• Conditionの理解と作成方法の習得
• 仮想ディスク機能の理解
• Windows OSのアーティファクトの理解と解析方法の習得
  • CortanaとEDBアーティファクト
  • リンクファイル
  • USBストレージデバイスの接続
  • ゴミ箱
  • Print Spool
• Email、Webブラウザの使用により生成・蓄積されたデータの解析方法の習得
• Data Carvingの理解と解析方法の習得

 

 

受講対象者

• Windows OSの様々なアーティファクトに対し解析される方
• ボリューム全体の暗号化やパーティションの無効化等、特殊な状況下のドライブ・データに対し解析される方
• EnCaseの様々な機能を活用し、素早く目的のデータに絞り込むための知識と技術を必要とする方

 

 

開講日程（2024年度）

開催日時 開催場所 申込状況 お問い合わせください お問い合わせください お問い合わせください

※ お申込み状況により、開催日時・開催場所が変更される場合があります。

 

 

コーススケジュール

【1日目】
Lesson 1: EnCase Forensic V8の概要と設定	コースの紹介とセットアップ ケースの新規作成 ケースの保存 オプションの変更
Lesson 2: BitLocker	Windows BitLocker™について EnCaseで認識される暗号化プログラム
Lesson 3: ボリュームの復元	パーティションの構成 パーティションとボリュームの情報 NTFSのVolume Boot Record (VBR) MBR方式とGPT方式のパーティショニング “Partition Finder” EnScript
Lesson 4: 複合ファイルの解析	レジストリファイル OLEファイル ZIPアーカイブ
Lesson 5: タイムゾーン設定	タイムゾーン設定について “TZRES.DLL”について
Lesson 6: Windows® Registry	Windows® Registryの理解 － “HKEY_LOCAL_MACHINE”ハイブ － “HKEY_Users”ハイブ ユーザ設定
Lesson 7: 演習
【2日目】
Lesson 8: Conditions応用	コンディションとフィルターの設定 特殊なコンディションの設定
Lesson 9: exFAT, NTFS	exFAT概要 － Data Storage: exFATにおけるファイルの削除 NTFS概要
Lesson 10: Windowsアーティファクト	ユーザープロファイル領域 システム領域
Lesson 11: ショートカット（LNK Files）	ショートカット（LNK Files）について Case Analyzer
【3日目】
Lesson 12: USBストレージデバイスの識別	USBストレージデバイスの概要 － USBストレージデバイスに含まれる情報 － USBストレージデバイスに含まれる情報の読み方 Windowsが保持するUSBストレージデバイス情報
Lesson 13: ごみ箱（Recycle Bin）	ごみ箱（Recycle Bin）概要 － “$Recycle.Bin”とユーザプロファイル MFTエントリへの影響 MFTのレコード情報の変更 レジストリ設定
Lesson 14: Email	Email解析について － Emailのスレッド － Emailのブックマーク － 検索、絞り込み －タグ付け
Lesson 15: Internet Artifacts	Webブラウザ使用時に生成されるアーティファクトについて － Web閲覧履歴 － Webキャッシュ 各Webブラウザの情報 － Microsoft Edge － Mozilla Firefox － Google Chrome Case Analyzerの使用
Lesson 16: Media Analyzer	Media Analyzerの使用 処理結果の表示 絞り込み
【4日目】
Lesson 17: Windows System Database	Windows EDBについて － Windows Searchのデータベースファイル: Windows.edb Skypeのデータベース解析 OneNote Windows Sticky Notes
Lesson 18: Print Spoolerアーティファクト	“SHD”ファイル “SPL”ファイル EnScriptを使用した自動化
Lesson 19: 未割当領域の検索	“JPEG”ファイルのヘッダを使用した手動のファイル検索と復元 File Carverを使用した”JPEG”ファイルののファイル検索と復元 圧縮された復号ファイルの復元 – Word DOCX
Lesson 20: Physical Disk Emulator(PDE) モジュール	Physical Disk Emulator (PDE) について PDEがサポートする証拠ファイル形式 PDEの使用 PDEの活用例 － サードパーティ製ツールの使用 － マルウェアスキャン － テンポラリファイルの活用
Lesson 21: レポートの作成 – Advanced	ケーステンプレート – レポートフォーマットのカスタマイズ “Flexible”テンプレート Triageレポート “Basic”レポートテンプレートの構造 “Report”もしくは“Section”のテンプレートへの追加 タイトルページの更新 ブックマークフォルダの追加もしくは更新 “Picture”セクションフォーマットの更新 レポートへのファイルの埋め込み 画像の表示／非表示の切り替え レポートのエクスポート テンプレートの保存
※ 進行の度合いにより、実施Moduleの入れ替え、もしくは実施日時が前後することがあります。

 

 

受講・開講における注意事項

• 本コースは、OpenText社指定のカリキュラムに沿って実施されます。
• 一定時間を超える離席（遅刻、早退、欠席を含む）の場合、証書が発行されない、またはCPE Creditが発行されない（または減数される）場合があります。
• 本コースは、5名以上のご参加により開講します。開講30日前までに5名に満たなかった場合、コースの開講が中止となる場合があります。
• 本コースを受講される方は、以下の条件を必ず満たす必要があります。
  • DF120もしくはCF I を受講済みであること
  • EnCEを取得済みであること
• その他、受講条件・環境・開催場所・使用ツールなどにつきましては、お問い合わせください。