トレーニング | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE
ホーム > トレーニング > DF320: Advanced Analysis of Windows Artifacts with EnCase

DF320: Advanced Analysis of Windows Artifacts with EnCase

トレーニング

IMGP7558

 

"DF320: Advanced Analysis of Windows Artifacts with EnCase" は、OpenText社(Guidance Software社 - EnCaseの開発元(USA)) 認定の公式トレーニングです。

"DF320: Advanced Analysis of Windows Artifacts with EnCase" は、Windows OSのファイルシステムや、Prefetch・VSSなどのアーティファクトを、EnCase® Forensicの機能を通して解析する方法を学ぶ、上級ハンズオントレーニングです。

 

2019年度 DF320 受付状況
開催日時 開催場所 申込状況
2020年3月16日 ~ 3月19日 当社セミナールーム 受講のお申込み受付中

 

本コースの受講で、CPE Credit 32ポイントが付与されます(最終日に配布される証書に、付与されたポイントが明記されています)。

以下の場合、証書が発行されない場合があります。
- 欠席 (それに伴う代理人出席の場合も同様です)
- 遅刻
- 早退
- (一定時間以上の)離席

 


※ 各コースの空席状況など、最新の情報、詳細につきましては、当社までお問い合わせください。

コースの目的

VSS(Volume Shadow Copy Service)の解析手法の習得
ブロックベースでのデータ復元手法の習得
Windows OSに記録される、解析対象PCの設定・ユーザ履歴の詳細解析手法の習得
 - Windows Registry
 - Event Logs
RAID構成の理解、及びデータ取得方法の習得
SQLiteデータベースの理解
Prefetchの理解、及び解析方法の習得
暗号化されたデータの検知・解析方法の習得
RAMの理解
ZIPファイル及びMicrosoft Officeファイルの、ローレベルでのデータ復旧方法の習得

受講対象者

本コースは、以下を対象とする方の受講が最適です。

 

Windows OSのコンピュータに対し、より高度且つ詳細な調査の実施を必要とする方
RAIDや暗号化データ等、特殊な状況下における適切なデータ収集、及び解析を必要とする方
多種多様なEnScriptを使用し、EnCaseを用いた解析の幅を広げたい方

受講における条件

本コースは、4名以上のご参加により開講します。開講30日前までに4名に満たなかった場合、コースの開講を中止とさせていただくことがございます。

本コースを受講される方は、以下の条件を必ず満たす必要があります。
 - DF210(もしくはCF II)を受講済みであること、もしくはEnCE®を取得済みであること

本コースを受講される方は、以下の条件を満たしていることを前提とします(必須条件ではありません)。
 - Windows OSの構造、及び基本的な操作を理解していること
 - EnScriptの使用方法を理解していること

コース概要

【1日目】

Module 1 :

Windows Registryの高度な解析

■ アクティブ/スタティック(静的)レジストリの解析の違い
ローカルおよびドメインレベルのユーザーアカウントのマッピング
■ "UserAssist"レジストリの解析
■ "ShellBags"レジストリの解析

Module 2 :

ブロックベースのハッシュ解析手法を使用したファイル復元

■ ハッシュ解析の原則
■ 別の形式におけるハッシュ解析の必要性
■ ディスクとファイルの割当領域
■ ブロックベースのハッシュ解析手法を使用したファイル復元の活用
■ ブロックベースのハッシュ解析手法注意点

Module 3 :

Windows EventLog

■ EVT/EVTXのフォーマットの違い
■ Event Viewerを使用したEventLogの閲覧
■ 破損したEventLogファイルの修復
■ 削除されたEveintLogの復元

 

【2日目】

Module 4 :

Volume Shadow Service

■ VSSの操作モード
■ レジストリ操作によるシステム復元
■ VSSの解析
■ "VSS Examiner" EnScriptの使用

Module 5 :

RAID

■ RAID構成について
■ ハードウェアタイプ/ソフトウェアタイプのRAID
■ RAIDの証拠保全
■ RAIDの証拠保全データのマウント

Module 6 :

Prefetch

■ Prefetchとは
■ 仮想/物理メモリにつて
■ Prefetchファイルの構造

Module 7 :

SQLiteを使用した作業

■ SQLiteとは
■ 操作のモード
■ データベースページ
■ ロールバックジャーナル
■ SQLiteデータのクエリ
■ SQLiteデータベースの結合

 

【3日目】

Module 8 :

SQLiteデータのリカバリ

テーブルデータの保存の基本
■ SQLiteデータベーススキーマのストレージ
■ B-Treeページのヘッダ構造
■ データリカバリについて
■ データリカバリの注意点

Module 9 :

暗号化

■ 暗号化のアルゴリズム
■ パスワード/パスフレーズの実装
■ 暗号化データの識別
■ 復号化のアプローチ
■ 復号化のメソッド
■ Windowsログオンパスワードについて
■ Rainbow Table

Module 10 :

Windows Search

■ Windows Searchサービスについて
■ Windows Searchの設定
■ Windows Searchデータの保存

 

 

【4日目】

Module 11 :

RAMの解析

■ RAMの解析について
■ RAMの解析手法
■ 実行中のプロセスリスト
■ ロード中のDLLファイルのリスト
実行中のプロセスに関連付けられたユーザ
■ ハイバネーション(Hiberfil.sys)

Module 12 :

ローレベルでのZIPのリカバリ

■ ZIPファイルフォーマット
■ ローレベルでのZIPファイルリカバリの機会
■ "ZIP Index Entry Finder" EnScriptの使用

 

進行の度合いにより、実施Moduleの入れ替え、もしくは実施日時が前後することがあります。

予告なく、内容が追加・削除・変更される場合があります。

お申込み方法

こちらのお申込用紙を当社宛にメール、もしくはFAXしてください。

製品及びサービスに関するご質問、お問合せはこちら
関連製品
Magnet AXIOM Examinations (AX200)
 "Magnet AXIOM Examinations" は、Magnet F ...
詳細
DF210: Building an Investigation with EnCase
 "DF210: Building an Investigation with E ...
詳細
DF120: Foundations in Digital Forensics with EnCase
 "DF120: Foundations in Digital Forensics ...
詳細
FTK Bootcamp
 "FTK BootCamp" は、AccessData社(USA) ...
詳細