トレーニング | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE
ホーム > トレーニング > DF210: Building an Investigation with EnCase

DF210: Building an Investigation with EnCase

トレーニング

 

"DF210: Building an Investigation with EnCase" は、OpenText社(Guidance Software社 - EnCaseの開発元(USA)) 認定の公式トレーニングです。

"DF210: Building an Investigation with EnCase" は、EnCaseの機能を活用し、Windows Artifactsの解析や、レジストリ・複合ファイルの解析など、より専門的な解析手法を習得できる中級ハンズオントレーニングです。

 

2018年度 DF210 受付状況
開催日時 開催場所 申込状況
2018年10月9日 ~ 10月12日 当社セミナールーム 受付は終了しました
2019年2月12日 ~ 2月15日 当社セミナールーム 受付は終了しました

 

本コースの受講で、CPE Credit 32ポイントが付与されます(最終日に配布される証書に、付与されたポイントが明記されています)。

本コースは、"EnCase® Certified Examiner(EnCE®)"の取得に必要となる受講対象の認定トレーニングです。

以下の場合、証書が発行されない場合があります。
- 欠席 (それに伴う代理人出席の場合も同様です)
- 遅刻
- 早退
- (一定時間以上の)離席

 


※ 各コースの空席状況など、最新の情報、詳細につきましては、当社までお問い合わせください。

コースの目的

BitLockerで暗号化されたボリュームに対する処理方法の習得
ボリュームの検知と復元方法の習得
レジストリ・複合ファイルの展開と内蔵データの解析方法の習得
Conditionの理解と作成方法の習得
仮想ディスク機能の理解
Windows OSのアーティファクトの理解と解析方法の習得
 - CortanaとEDBアーティファクト
 - リンクファイル
 - USBストレージデバイスの接続
 - ゴミ箱
 - プリントスプール
Email、Webブラウザの使用により生成・蓄積されたデータの解析方法の習得
Data Carvingの理解と解析方法の習得

受講対象者

本コースは、以下を対象とする方の受講が最適です。

 

Windows OSの様々なアーティファクトに対し解析される方
ボリューム全体の暗号化やパーティションの無効化等、特殊な状況下のドライブ・データに対し解析される方
EnCaseの様々な機能を活用し、素早く目的のデータに絞り込むための知識と技術を必要とする方

受講における条件

本コースは、4名以上のご参加により開講します。開講30日前までに4名に満たなかった場合、コースの開講を中止とさせていただくことがございます。

本コースを受講される方は、以下の条件を必ず満たす必要があります。
 - DF120(もしくはCF I)が受講済みであること、もしくはEnCE®を取得済みであること

本コースを受講される方は、以下の条件を満たしていることを前提とします(必須条件ではありません)。
 - コンピュータ・フォレンジックの基本的な知識、プロセスを習得していること
 - Windows OSの構造、及び基本的な操作を理解していること

コース概要

【1日目】

Module 1 :

EnCase Forensic V8の
概要と設定

■ コースの紹介とセットアップ
■ ケースのフォルダ構造
■ ケースの新規作成
■ ケースの保存
■ オプションの設定

Module 2 :

BitLocker

■ Windows BitLocker™について

Module 3 :

ボリュームの復元

■ ディスクの構造
■ パーティションとボリュームの情報
■ VBR(Volume Boot Record)のバックアップ
■ プライマリパーティション vs. 拡張パーティション
■ プロセスの自動化
■ ボリュームの復元のクイックステップ
■ パーティションのタイプコード
■ OEMベンダー名
■ VBRのレコード
 - FAT32
 - NTFS

Module 4 :

複合ファイルの解析

■ レジストリファイル
■ OLEファイル
■ ZIPアーカイブ

Module 5 :

Windows® Registry

■ Windows Registryの理解
■ "HKEY_LOCAL_MACHINE"ハイブ
■ "HKEY_Users"ハイブ
■ ユーザ設定

Module 6 :

タイムゾーン設定

■ タイムゾーン設定について
■ "TZRES.DLL"について

Module 7 :

Conditions

■ Conditionsについて

Module 8 : 演習

 

【2日目】

Module 9 :

exFAT, NTFS

■ exFATについて
■ データ・ストレージ:exFATボリューム上でのファイルの削除
■ NTFS:ァイルシステムの新テクノロジー
■ ファイルシステム解析の特徴と利点

Module 10 :

Physical Disk Emulator(PDE) モジュール

■ Physical Disk Emulatorについて
■ PDEがサポートするエビデンス形式
■ PDEの使用
 - 仮想マウントされたディスクの起動
 - アンマウント
■ 仮想マウントの変更
■ PDEの活用例
 - サードパーティ製ツールの使用
 - マルウェアスキャン
 - テンポラリファイルの活用

Module 11 :

Windowsアーティファクト

■ ユーザのファイル・フォルダ構造
■ システムのファイル・フォルダ構造

Module 12 :

CortanaとEDBアーティファクト

■ "Windows.edb"(Windows Searchのデータベースファイル)の解析
■ Cortanaクエリ
■ Cortanaアーティファクト
■ Cortanaの自動解析

Module 13 : 演習

 

【3日目】

Module 14 :

ショートカット(LNKファイル)

■ ショートカット(LNKファイル)について

Module 15:

リムーバブルUSBデバイスの識別

■ リムーバブルUSBデバイスについて
■ リムーバブルUSBデバイスに含まれる情報
■ リムーバブルUSBデバイスに含まれる情報の読み方
Windowsが保持するリムーバブルUSBデバイス情報

Module 16 :

ゴミ箱(Recycle Bin)

■ ゴミ箱(Recycle Bin)について
■ "$Recycle.Bin"
■ "$Recycle.Bin"とユーザプロファイル
■ MFTエントリへの影響
■ MFTのレコード情報の変更
■ レジストリ設定

Module 17 :

Email

■ Email解析とは
■ Emailのスレッド
■ Emailのブックマーク

Module 18 :

Internet Artifacts

■ インターネットアーティファクト解析とは
■ Web閲覧の履歴
■ Webキャッシュ
■ 各Webブラウザの情報
 - Internet Explorer
 - FireFox
 - Google Chrome

 

【4日目】

Module 19:

GREP検索

■ GREP検索について
■ GREP検索の構文例

Module 20 :

プリントスプールのアーティファクト

■ "SHD"ファイル
■ "SPL"ファイル
■ プロセスの自動化

Module 21 :

未割当領域の検索

■ "JPEG"ファイルのヘッダを使用した手動のファイル検索と復元
■File Carverを使用した"JPEG"ファイルののファイル検索と復元

Module 22 :

レポートの作成 - Advanced

■ ケーステンプレート - レポートフォーマットのカスタマイズ
■ Flexibleテンプレート
■ Triageレポート
■ レポートテンプレートの構造の基礎
■ レポートもしくはセクションのテンプレートへの追加
■ タイトルページの更新
■ ブックマークフォルダの追加もしくは更新
■ "Picture"セクションフォーマットの更新
■ レポートへのファイルの埋め込み
■ 画像の表示/非表示の切り替え
■ レポートの出力
■ テンプレートの保存

 

進行の度合いにより、実施Moduleの入れ替え、もしくは実施日時が前後することがあります。

お申込み方法

こちらのお申込用紙を当社宛にメール、もしくはFAXしてください。

製品及びサービスに関するご質問、お問合せはこちら
関連製品
Magnet AXIOM Examinations (AX200)
 "Magnet AXIOM Examinations" は、Magnet F ...
詳細
DF120: Foundations in Digital Forensics with EnCase
 "DF120: Foundations in Digital Forensics ...
詳細
FTK Bootcamp
 "FTK BootCamp" は、AccessData社(USA) ...
詳細
DF320: Advanced Analysis of Windows Artifacts with EnCase
 "DF320: Advanced Analysis of Windows Art ...
詳細