ホーム > トレーニング > DF210: Building an Investigation with EnCase

DF210: Building an Investigation with EnCase

トレーニング

本研修の取り扱いは終了いたしました。詳しくはこちらのページをご覧ください。

"DF210: Building an Investigation with EnCase" は、OpenText社（Guidance Software社 - EnCaseの開発元（USA））認定の公式トレーニングです。

"DF210: Building an Investigation with EnCase" は、EnCaseの機能を活用し、Windows Artifactsの解析や、レジストリ・複合ファイルの解析など、より専門的な解析手法を習得できる中級ハンズオントレーニングです。

■	本コースの受講で、CPE Credit 32ポイントが付与されます（最終日に配布される証書に、付与されたポイントが明記されています）。
■	本コースは、"EnCase® Certified Examiner(EnCE®)"の取得に必要となる受講対象の認定トレーニングです。
■	以下の場合、証書が発行されない場合があります。－欠席（それに伴う代理人出席の場合も同様です）－遅刻－早退－（一定時間以上の）離席

※ コースの詳細につきましては、当社までお問い合わせください。

コースの目的

■	BitLockerで暗号化されたボリュームに対する処理方法の習得
■	ボリュームの検知と復元方法の習得
■	レジストリ・複合ファイルの展開と内蔵データの解析方法の習得
■	Conditionの理解と作成方法の習得
■	仮想ディスク機能の理解
■	Windows OSのアーティファクトの理解と解析方法の習得　－ CortanaとEDBアーティファクト　－リンクファイル　－ USBストレージデバイスの接続　－ゴミ箱　－プリントスプール
■	Email、Webブラウザの使用により生成・蓄積されたデータの解析方法の習得
■	Data Carvingの理解と解析方法の習得

受講対象者

本コースは、以下を対象とする方の受講が最適です。

■	Windows OSの様々なアーティファクトに対し解析される方
■	ボリューム全体の暗号化やパーティションの無効化等、特殊な状況下のドライブ・データに対し解析される方
■	EnCaseの様々な機能を活用し、素早く目的のデータに絞り込むための知識と技術を必要とする方

受講における条件

※	本コースは、4名以上のご参加により開講します。開講30日前までに4名に満たなかった場合、コースの開講を中止とさせていただくことがございます。
※	本コースを受講される方は、以下の条件を必ず満たす必要があります。　－ DF120（もしくはCF I）が受講済みであること、もしくはEnCE®を取得済みであること
※	本コースを受講される方は、以下の条件を満たしていることを前提とします（必須条件ではありません）。　－コンピュータ・フォレンジックの基本的な知識、プロセスを習得していること　－ Windows OSの構造、及び基本的な操作を理解していること

コース概要

【1日目】

Module 1 : EnCase Forensic V8の概要と設定	■ コースの紹介とセットアップ ■ ケースのフォルダ構造 ■ ケースの新規作成 ■ ケースの保存 ■ オプションの設定
Module 2 : BitLocker	■ Windows BitLocker™について
Module 3 : ボリュームの復元	■ ディスクの構造 ■ パーティションとボリュームの情報 ■ VBR（Volume Boot Record）のバックアップ ■ プライマリパーティション vs. 拡張パーティション ■ プロセスの自動化 ■ ボリュームの復元のクイックステップ ■ パーティションのタイプコード ■ OEMベンダー名 ■ VBRのレコード　－ FAT32 　－ NTFS
Module 4 : 複合ファイルの解析	■ レジストリファイル ■ OLEファイル ■ ZIPアーカイブ
Module 5 : Windows® Registry	■ Windows Registryの理解 ■ "HKEY_LOCAL_MACHINE"ハイブ ■ "HKEY_Users"ハイブ ■ ユーザ設定
Module 6 : タイムゾーン設定	■ タイムゾーン設定について ■ "TZRES.DLL"について
Module 7 : Conditions	■ Conditionsについて
Module 8 : 演習

【2日目】

Module 9 : exFAT, NTFS	■ exFATについて ■ データ・ストレージ：exFATボリューム上でのファイルの削除 ■ NTFS：ァイルシステムの新テクノロジー ■ ファイルシステム解析の特徴と利点
Module 10 : Physical Disk Emulator(PDE) モジュール	■ Physical Disk Emulatorについて ■ PDEがサポートするエビデンス形式 ■ PDEの使用　－仮想マウントされたディスクの起動　－アンマウント ■ 仮想マウントの変更 ■ PDEの活用例　－サードパーティ製ツールの使用　－マルウェアスキャン　－テンポラリファイルの活用
Module 11 : Windowsアーティファクト	■ ユーザのファイル・フォルダ構造 ■ システムのファイル・フォルダ構造
Module 12 : CortanaとEDBアーティファクト	■ "Windows.edb"（Windows Searchのデータベースファイル）の解析 ■ Cortanaクエリ ■ Cortanaアーティファクト ■ Cortanaの自動解析
Module 13 : 演習

【3日目】

Module 14 : ショートカット（LNKファイル）	■ ショートカット（LNKファイル）について
Module 15: リムーバブルUSBデバイスの識別	■ リムーバブルUSBデバイスについて ■ リムーバブルUSBデバイスに含まれる情報 ■ リムーバブルUSBデバイスに含まれる情報の読み方 ■ Windowsが保持するリムーバブルUSBデバイス情報
Module 16 : ゴミ箱（Recycle Bin）	■ ゴミ箱（Recycle Bin）について ■ "$Recycle.Bin" ■ "$Recycle.Bin"とユーザプロファイル ■ MFTエントリへの影響 ■ MFTのレコード情報の変更 ■ レジストリ設定
Module 17 : Email	■ Email解析とは ■ Emailのスレッド ■ Emailのブックマーク
Module 18 : Internet Artifacts	■ インターネットアーティファクト解析とは ■ Web閲覧の履歴 ■ Webキャッシュ ■ 各Webブラウザの情報　－ Internet Explorer 　－ FireFox 　－ Google Chrome

【4日目】

Module 19: GREP検索	■ GREP検索について ■ GREP検索の構文例
Module 20 : プリントスプールのアーティファクト	■ "SHD"ファイル ■ "SPL"ファイル ■ プロセスの自動化
Module 21 : 未割当領域の検索	■ "JPEG"ファイルのヘッダを使用した手動のファイル検索と復元 ■File Carverを使用した"JPEG"ファイルののファイル検索と復元
Module 22 : レポートの作成 - Advanced	■ ケーステンプレート - レポートフォーマットのカスタマイズ ■ Flexibleテンプレート ■ Triageレポート ■ レポートテンプレートの構造の基礎 ■ レポートもしくはセクションのテンプレートへの追加 ■ タイトルページの更新 ■ ブックマークフォルダの追加もしくは更新 ■ "Picture"セクションフォーマットの更新 ■ レポートへのファイルの埋め込み ■ 画像の表示／非表示の切り替え ■ レポートの出力 ■ テンプレートの保存

※	進行の度合いにより、実施Moduleの入れ替え、もしくは実施日時が前後することがあります。

お申込み方法

こちらのお申込用紙を当社宛にメール、もしくはFAXしてください。

Magnet AXIOM Examinations (AX200): 本研修の取り扱いは終了いたしました。詳し ...

DF320: Advanced Analysis of Windows Artifacts with EnCase: 本研修の取り扱いは終了いたしました。詳し ...

DF120: Foundations in Digital Forensics with EnCase: 本研修の取り扱いは終了いたしました。詳し ...

FTK Bootcamp: 本研修の取り扱いは終了いたしました。詳し ...