Category Official Training Course Provided vendor OpenText Level 上級 (Advanced) Hours per Day / Days 8時間 / 4日間 CPE Credits あり (32points)

より専門的な解析手法を習得するためのOpenText公認コース

Windowsのアーティファクトのより高度な解析技術を身に着けるためのハンズオントレーニングコースです。RAIDやVSS (Volume Shadow Copy Service) 、SQLite Databaseなど、より専門的で緻密な調査が必要な場合にも、このコースは大きな役割を持ちます。

 

 

コースの目的

• バックアップ・システム復元の解析手法の習得
  • VSS（Volume Shadow Copy Service）
  • ファイル履歴（File History）
• ブロックベースでのデータ復元手法の習得
• Windows OSに記録される、解析対象PCの設定・ユーザ履歴の詳細解析手法の習得
  • Windows Registry
  • Event Logs
  • Prefetch
  • Windowsタイムライン
  • Windowsの通知
• RAID構成の理解、及びデータ取得方法の習得
• SQLiteデータベースの理解
• 暗号化されたデータの検知・解析方法の習得
• RAMの理解
• ZIPファイル及びMicrosoft Officeファイルの、ローレベルでのデータ復旧方法の習得

 

 

受講対象者

• Windows OSのコンピュータに対し、より高度且つ詳細な調査の実施を必要とする方
• RAIDや暗号化データ等、特殊な状況下における適切なデータ収集、及び解析を必要とする方
• 多種多様なEnScriptを使用し、EnCaseを用いた解析の幅を広げたい方

 

 

開講日程（2024年度）

開催日時 開催場所 申込状況 お問い合わせください お問い合わせください お問い合わせください

※ お申込み状況により、開催日時・開催場所が変更される場合があります。

 

 

コーススケジュール

【1日目】
Lesson 1: SQLiteとの連携	SQLite概要 － 動作モード － ロールバックジャーナル － WRITE-AHEAD (WAL) ログ SQLiteデータのクエリ実行 － クエリの基礎 － JOIN － 高度なクエリ
Lesson 2: SQLiteのデータ復元	ページ利用の概要 テーブルページの保存 SQLiteデータベーススキーマのストレージ SQLiteデータベースヘッダーの構造 フリーリストの解析 Bツリーページのヘッダー構造 EnScriptを使用したフリーページの解析
Lesson 3: ブロックベースのハッシュ解析を使用したファイル復元	従来のハッシュ解析 ハッシュ解析の別手法の必要性 ディスクスペースやファイルの割当て ブロックベースのハッシュ解析を使用したファイル復元
Lesson 4: Windows® Registryの高度な調査	オンラインレジストリとオフラインレジストリ “Security”関連のレジストリ
Lesson 5: UserAssistの調査	UserAssistについて EnScriptを使用した効果的な解析
Lesson 6: ShellBagの調査	ShellBagについて EnScriptを使用した効果的な解析
【2日目】
Lesson 7: プリフェッチ (Prefetch) 解析	仮想メモリと物理メモリ プリフェッチ (Prefetch) 概要 － プリフェッチの機能と動作 － プリフェッチファイル (.pf) の構成 － プリフェッチハッシュ値の計算 EnScriptを使用したプリフェッチファイルの調査 Windows 8／Windows 10のプリフェッチ
Lesson 8: Windowsシステムデータベース	Skypeデータベースの解析 OneNoteの解析 Windows Sticky Noteの解析
Lesson 9: Windowsタイムライン	Windowsタイムラインの解析
Lesson 10: Windowsの通知	Windowsの通知について 通知の設定 動作の確認 追加的な情報
【3日目】
Lesson 11: Windowsイベントログ	EVT／EVTX形式のログファイル 代表的なイベントの内容と情報 Windows標準搭載ツールを使用したイベントログの参照 EnCaseを使用したイベントログの参照 破損したイベントログの修復 削除されたログの検知と復元
Lesson 12: ファイル履歴とVolume Shadow Copy (VSS)	Volume Shadow Copy (VSS) 概要 － システム復元の操作と動作モード － レジストリ設定 － 除外ファイル － Windows 10以降のVSSについて EnCaseにおけるVSSの解析手法 － Analyze Volume Shadow Copy ファイル履歴について バックアップドライブの解析
Lesson 13: 暗号化	EnCaseがサポートしている暗号化ソリューション 暗号化概要 － アルゴリズムとキー（鍵） 暗号化されたデータの特定 － TrueCrypt － Protected Storage Service Provider 復号化のアプローチ
【4日目】
Lesson 14: BitLocker	BitLockerのシステム要件 TPM (Trusted Platform Module) データ収集における考慮事項 － EDSを使用したボリュームの復号化
Lesson 15: RAMフォレンジクス	Volatilityを使用したRAMデータの解析 － RAMデータ取得時の詳細情報・日時情報 － 実行中のプロセス一覧 － DLLファイルの一覧 － ソケット一覧 － 実行可能ファイルのエクスポート － ネットワーク接続状況 － コマンドラインエントリの一覧
Lesson 16: ローレベルのZIPの復元	ZIPファイルの形式 ZIPデータのローレベルリカバリを実行する機会 EnScriptを使用した解析
Lesson 17: RAIDの構成とストライプ	RAID概要 RAIDの種類 RAIDのデータ取得とマウント － ハードウェアRAID － ソフトウェアRAID
※ 進行の度合いにより、実施Moduleの入れ替え、もしくは実施日時が前後することがあります。

 

 

受講・開講における注意事項

• 本コースは、OpenText社指定のカリキュラムに沿って実施されます。
• 一定時間を超える離席（遅刻、早退、欠席を含む）の場合、証書が発行されない、またはCPE Creditが発行されない（または減数される）場合があります。
• 本コースは、5名以上のご参加により開講します。開講30日前までに5名に満たなかった場合、コースの開講が中止となる場合があります。
• 本コースを受講される方は、以下の条件を必ず満たす必要があります。
  • DF210を受講済みであること
  • EnCEを取得済みであること
• その他、受講条件・環境・開催場所・使用ツールなどにつきましては、お問い合わせください。