DF120: Foundations in Digital Forensics with EnCase

Module 1 :

ケースの作成とフォレンジックの手法

■ デジタル証拠の適切な保護と収集
■ EnCaseでのファイル管理
■ 解析ナビゲーター「Pathways」
■ EnCaseのファイル管理
■ EnCaseのインストールとライセンス
■ ケースの作成方法

Module 2 :

EnCaseのナビゲーション

■ EnCaseの環境設定
■ EnCase Portable
■ ケースページのロゴ
■ EnCaseでのローカルドライブのプレビュー
■ EnCase Portable - 補足情報

Module 3 :

データの割当とファイル記述

■ デジタルデータの基礎
■ ファイルシステム
■ ボリューム内のクラスタの割り当て
■ FATボリューム上のデータストレージの動き
　－ FATボリューム上でのファイルの作成
　－ FATボリューム錠でのファイルの編集・拡張
■ 削除ファイルのEnCase上の表示
■ ファイルデータとファイルスラック
■ RAMスラック
■ スラックの定義
■ EnCase上でのスラックの表示
■ Descriptionの概要と各オブジェクトの表示
■ Descriptionカラムの共通のエントリ

Module 4 :

■ EnCaseの機能概要
■ フォレンジックイメージの取得と解析
■ EnCaseのイメージファイル形式
　－ E01イメージ形式（レガシー）について
　－ E01イメージ形式とEx01イメージ形式の比較
■ EnCaseのファイル構造
　－ ケースファイル
　－ EnCaseの環境設定ファイル
　－ Evidence Cache
■ ケースのバックアップ

Module 5 :

EnCase Forensic による取得コンセプト

■ データ取得プロセスについて
■ データ取得を行う前に
■ データ取得の実施
■ FastBlocを使用したメディアの閲覧
■ 「Pathways - Preview/Triage」について
■ デバイスデータ取得
　－ Locationタブ
　－ Formatタブ
　－ Advancedタブ
■ 証拠ファイルの暗号化・復号化
■ モバイルデバイスからのデータ取得
■ 書込み防止装置を用いたデータ取得
■ 代替手段の取得オプション
　－ WinAcq

Module 6 :

■ EnCase Evidence Processor
　－操作と管理
　－優先順位付け
■ 「Pathway - Full Investigation」について
■ モジュールについて
■ Evidence Processorのタスクと管理
■ 証拠処理終了の識別

Module 7 :

■ 証拠のブックマーキング
■ ブックマーキングの応用
　－ 複数アイテムのブックマーク
　－ 一部のデータのブックマーク
　－ ブックマークコメント
■ ノートブックマーク
■ EnScriptからのブックマーク
■ タグについて
　－ タグの作成
　－ アイテムへのタギング

Module 8 :

RAWキーワード検索

■ Index検索とRAWキーワード検索の違い
■ RAWキーワード検索を行う前に
■ 検索のためのキーワードを作成する
■ 検索結果の確認
　－ アイテム（オブジェクト）ごととヒットごとのレビュー
■ RAWデータ形式でのブックマーキング
■ 自動保存されるキーワード検索でヒットしたファイル

Module 9 :

インデックス検索

■ EnCaseのバージョンによるインデクシングの変更点
■ インデクシングの重要性
■ スラックスペースと未割当領域に対するインデクシングの考慮
■ インデックス検索の実行
■ 検索結果の確認
■ Transcriptタブでのブックマーキング
■ 検索結果の保存と活用
■ 検索用語の保存
■ 検索オペレータ

Module 10 :

外部ビューア

■ ファイルコンテンツの表示
■ ファイル種別テーブル
■ サードパーティソフトのインストールと連携
■ ファイルビューワーで使用した一時ファイルの自動削除

Module 11 :

データのエクスポートとインポート

■ エントリービューからのファイルコピー
■ ケースへのファイルのインポート
■ EnCase論理エビデンスファイル内へのファイルの格納
■ EnCase Virtual File System(VFS)を介したエビデンス内データへのアクセス

Module 12 :

ファイルシグネチャ解析

■ ファイルシグネチャ解析とは
■ ファイルタイプ
■ シグネチャの追加と編集
■ シグネチャ解析と結果の閲覧
■ 条件やフィルターによるシグネチャ分析結果の隔離
■ シグネチャ分析の特殊な結果

Module 13 :

ハッシュ解析

■ ハッシュ解析とは
■ ハッシュセットとハッシュライブラリ
　－ハッシュセット・ハッシュライブラリの構築
　－ケースへの適用
　－ハッシュ解析結果の絞り込みと既知ファイルの除外
■ ハッシュセット・ハッシュライブラリの照会と修正

Module 14 :

ハッシュ解析ツール

■ NSRLハッシュライブラリとの連携
■ ハッシュ分析の補足として用いられるEnScriptモジュール
■ Project VICを使用する目的
■ EnCaseとProject VIC

Module 15 :

エントロピー解析

■ エントロピー解析とは

Module 16 :

レポートの作成

■ 新規ケースとブックマークの作成
■ Flexibleテンプレート
■ レポートテンプレートの構造
　－ タイトルページの更新
　－ 表示するメタデータの変更
■ レポートのエクスポート
■ 修正したレポートをテンプレートとして保存
■ トリアージレポートの作成

Module 17 :

ケースの終了

■ 解析対象データの再取得
■ 物理ドライブ/ロンロボリュームのリストア
■ ケースのアーカイブ
　－アーカイブファイルの検証
　－ケースのリストア

※

進行の度合いにより、実施Moduleの入れ替え、もしくは実施日時が前後することがあります。