QualityNet サイバーフォレンジック事業部

03-6260-9237

営業時間(9:00~17:30)定休日(土曜・日曜・祝祭日)

カタログ
ダウンロード
お問い合わせ

DF320: Advanced Analysis of Windows Artifacts with EnCase - トレーニング

ホーム > トレーニング > DF320: Advanced Analysis of Windows Artifacts with EnCase

DF320: Advanced Analysis of Windows Artifacts with EnCase

トレーニング

Category Official Training Course
Provided vendor OpenText
Level 上級 (Advanced)
Hours per Day / Days 8時間 / 4日間
CPE Credits あり (32points)

より専門的な解析手法を習得するためのOpenText公認コース

Windowsのアーティファクトのより高度な解析技術を身に着けるためのハンズオントレーニングコースです。RAIDやVSS (Volume Shadow Copy Service) 、SQLite Databaseなど、より専門的で緻密な調査が必要な場合にも、このコースは大きな役割を持ちます。

 

 

コースの目的

  • VSS(Volume Shadow Copy Service)の解析手法の習得
  • ブロックベースでのデータ復元手法の習得
  • Windows OSに記録される、解析対象PCの設定・ユーザ履歴の詳細解析手法の習得
    • Windows Registry
    • Event Logs
  • RAID構成の理解、及びデータ取得方法の習得
  • SQLiteデータベースの理解
  • Prefetchの理解、及び解析方法の習得
  • 暗号化されたデータの検知・解析方法の習得
  • RAMの理解
  • ZIPファイル及びMicrosoft Officeファイルの、ローレベルでのデータ復旧方法の習得

 

 

受講対象者

  • Windows OSのコンピュータに対し、より高度且つ詳細な調査の実施を必要とする方
  • RAIDや暗号化データ等、特殊な状況下における適切なデータ収集、及び解析を必要とする方
  • 多種多様なEnScriptを使用し、EnCaseを用いた解析の幅を広げたい方

 

 

開講日程(2021年度)

開催日時 開催場所 申込状況
2022年3月15日 ~ 18日 当社セミナールーム お申込受付中

※ お申込み状況により、開催日時・開催場所が変更される場合があります。

 

 

コーススケジュール

【1日目】
Lesson 1:
Windows® Registryの高度な調査
  • オンラインレジストリとオフラインレジストリ
  • “Security”関連のレジストリ
  • “UserAssist”レジストリデータの解析
  • “Shellbag”レジストリデータの解析
Lesson 2:
ブロックベースのハッシュ解析を使用したファイル復元
  • 従来のハッシュ解析
  • ハッシュ解析の別手法の必要性
  • ディスクスペースやファイルの割当て
  • ブロックベースのハッシュ解析を使用したファイル復元
Lesson 3:
Windowsイベントログ
  • EVT/EVTX形式のログファイル
  • 代表的なイベントの内容と情報
  • Windows標準搭載ツールを使用したイベントログの参照
  • EnCaseを使用したイベントログの参照
  • 破損したイベントログの修復
  • 削除されたログの検知と復元
【2日目】
Lesson 4:
Volume Shadow Copy (VSS)
  • Volume Shadow Copy (VSS) 概要
    - システム復元の操作と動作モード
    - レジストリ設定
    - 除外ファイル
  • ファイル履歴
  • Analyze Volume Shadow Copy
  • EnScriptを使用したVSSの解析
Lesson 5:
RAIDの構成とストライプ
  • RAID概要
  • RAIDの種類
  • RAIDのデータ取得とマウント
    - ハードウェアRAID
    - ソフトウェアRAID
Lesson 6:
プリフェッチ (Prefetch) 解析
  • 仮想メモリと物理メモリ
  • プリフェッチ (Prefetch) 概要
    - プリフェッチの機能と動作
    - プリフェッチファイル (.pf) の構成
    - プリフェッチハッシュ値の計算
  • EnScriptを使用したプリフェッチファイルの調査
  • Windows 8/Windows 10のプリフェッチ
【3日目】
Lesson 7:
SQLiteとの連携
  • SQLite概要
    - 動作モード
    - ロールバックジャーナル
    - WRITE-AHEAD (WAL) ログ
  • SQLiteデータのクエリ実行
    - クエリの基礎
    - JOIN
    - 高度なクエリ
Lesson 8:
SQLiteのデータ復元
  • ページ利用の概要
  • テーブルページの保存
  • SQLiteデータベーススキーマのストレージ
  • SQLiteデータベースヘッダーの構造
  • フリーリストの解析
  • Bツリーページのヘッダー構造
  • EnScriptを使用したフリーページの解析
Lesson 9:
暗号化
  • EnCaseがサポートしている暗号化ソリューション
  • 暗号化概要
    - アルゴリズムとキー(鍵)
  • 暗号化されたデータの特定
    - TrueCrypt
    - Protected Storage Service Provider
  • 復号化のアプローチ
【4日目】
Lesson 10:
BitLocker
  • BitLockerのシステム要件
  • TPM (Trusted Platform Module)
  • データ収集における考慮事項
    - EDSを使用したボリュームの復号化
Lesson 11:
RAMフォレンジクス
  • Volatilityを使用したRAMデータの解析
    - RAMデータ取得時の詳細情報・日時情報
    - 実行中のプロセス一覧
    - DLLファイルの一覧
    - ソケット一覧
    - 実行可能ファイルのエクスポート
    - ネットワーク接続状況
    - コマンドラインエントリの一覧
Lesson 12:
ローレベルのZIPの復元
  • ZIPファイルの形式
  • ZIPデータのローレベルリカバリを実行する機会
  • EnScriptを使用した解析
※ 進行の度合いにより、実施Moduleの入れ替え、もしくは実施日時が前後することがあります。

 

 

受講・開講における注意事項

  • 本コースは、OpenText社指定のカリキュラムに沿って実施されます。
  • 一定時間を超える離席(遅刻、早退、欠席を含む)の場合、証書が発行されない、またはCPE Creditが発行されない(または減数される)場合があります。
  • 本コースは、5名以上のご参加により開講します。開講30日前までに5名に満たなかった場合、コースの開講が中止となる場合があります。
  • 本コースを受講される方は、以下の条件を必ず満たす必要があります。
    • DF210もしくはCF II を受講済みであること
    • EnCEを取得済みであること
  • その他、受講条件・環境・開催場所・使用ツールなどにつきましては、お問い合わせください。

 

 

製品・サービス等に関するお問い合わせはこちら

クオリティネット株式会社 サイバーフォレンジック事業部

03-6260-9237

営業時間:
9:00~17:30
定休日:
毎週土曜・日曜
メールでのお問合せはこちら

関連製品

TOP