トレーニング | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE
ホーム > トレーニング > EnCase® Certified Examiner(EnCE®)

EnCase® Certified Examiner(EnCE®)

トレーニング

EnCE

"EnCase® Certified Examiner(EnCE®)" は、OpenText社(Guidance Software社 - EnCaseの開発元) によるフォレンジック認定資格です。

「EnCE」ではフォレンジック調査ツール「EnCase」を使用したコンピューター調査の技能や体系的なフォレンジック知識を実践形式のテストを通して認定します。法執行機関や民間企業のフォレンジック調査員の方が知識の確認や、スキルを対外的に証明するためにご利用頂けます。

 

EnCE 試験概要
認定組織 OpenText/Guidance Software
言語 英語
受験資格 64時間の認定トレーニング(DF120DF210等)の受講、
もしくは12ヶ月以上のフォレンジックの実務経験
費用 別途お問い合せ下さい。
Phase I (一次試験)
試験形式 多肢選択式
設問数 174問(インターナショナル版の場合)
合否基準 80%以上の正答率
時間 2時間
Phase II (二次試験)
試験形式 記述式(イメージファイルを用いた実技試験形式)
設問数 大問 18問(複数の小問を含みます)
合否基準 85%以上の正答率
時間 60日

 

インターナショナル版ではアメリカの国内法等、法律分野に関連する問題は出題されません。

Phase IIでは認定試験用のEnCaseライセンス(機能限定版)が提供されます。
試験にあたって、商用版のEnCaseは使用することができません。

認定は3年間有効です。期間経過後はRENEWALプログラムによる更新、もしくは再認定が必要です。

 

認定対象者

本認定は、警察などの法執行機関の調査官、企業の情報セキュリティ担当者などを主な対象としていますが、
以下のいずれかの条件を満たす方であれば、どなたでも試験を受けることが可能です。

■ 合計64時間以上のフォレンジック・トレーニングの受講。
DF120DF210をはじめとするGuidance Software公式トレーニングの受講を推奨しますが、
それ以外のフォレンジック関連トレーニングでも前提条件を満たしていると認められる場合があります。
詳しくはEnCEのCertification Coordinator(certification@guid.com)に英語でお問い合せください。)

■ 12ヶ月以上の有効なフォレンジック調査経験

出題分野の概要

 EnCEの認定を受けるためには、EnCaseの知識に加え、フォレンジックの体系的な理解(ベストプラクティス、証拠保全、解析手法、アーティファクト)やコンピューター関連の知識(ハードウェア、ファイルシステム)も必要になります。 また、Phase IIではこれらの知識に加え、提供されたイメージを実際に解析して調査、報告を行う能力も求められます。EnCEの公式スタディガイドで言及されている主な項目は以下の通りです。


【EnCaseの基本知識】

The EnCase
Evidence File
:

EnCaseの証拠ファイル
E01ファイルの理解

■ 証拠ファイルの形式 (E01/Ex01/L01/Lx01)
■ 物理コピー(Drive to Drive)との違い
 ・ファイル名の変更、移動等、管理の容易性
 ・ケースデータの設定
 ・ファイルの検証方法(MD5/SHA-1/CRC)
 ・セグメントサイズの設定
 ・パスワード保護
 ・圧縮の設定
  – ハッシュ値を維持した再取得
  – パスワードの変更、除外
 ・エラー粒度(Error granularity)の調整
  – Standard – データブロックのサイズ
  – Exhaustive – 1セクターに限定

The EnCase Evidence File Contains Case Data :

E01/Ex01が包含する
ケースデータ

■ 証拠ファイルの作成後変更できない情報
 ・Case number
 ・Examiner name
 ・Evidence number
 ・Unique description
 ・Date/time of computer system clock
 ・Acquisition notes
 ・Serial number of physical hard drive

The EnCase Evidence File Verification :

ファイル検証

■ ハッシュ検証(Verification hash)
 ・MD5 – 128-bit/32文字
 ・SHA-1 – 160 bit/40文字
 ・併用(MD5 + SHA-1)
  – オリジナル取得時のハッシュとの比較検証
■ CRC (Cyclical Redundancy Check)
 ・非圧縮時に使用
 ・32-bit CRCを64セクター(32KB)毎に付加
 ・証拠ファイル追加時に計算。データブロックへのアクセス時にも毎計算

EnCase Concepts :

EnCaseの基本知識

■ ケースファイル(拡張子 .case)
 ・証拠ファイルへのポインタ
 ・ファイルシグネチャ解析とハッシュ解析の結果
 ・ブックマーク
 ・調査員のメモ
■ “Create Package”機能

The Configuration .ini Files :

設定(.ini)ファイル

■ EnCase全体の設定を行う .iniファイル
 ・FileTypes.ini
  – 拡張子ごとのファイルをグループ化
  – File Signature Table
 ・Local.ini
 ・Viewers.ini

 

【EnCaseを使用した調査】

The EnCase Methodology :

EnCaseの方法論

■ ケース管理
 ・ケースごとに独立した作業フォルダーの準備
  – EvidenceCache(キャッシュファイルと証拠処理された証拠のコンテナ用)
  – Export(証拠の出力用)
  – Temp(一部処理、ファイル閲覧用)
 ・作業ドライブの準備
  – データ消去(二次汚染の可能性排除)
  – コピー先ドライブへ独自ラベル付与
  – 大容量、高RPM (revolutions per minute)、単一パーティション

Evidence Processor :

証拠処理

■ Evidence Processorの実行方法
■ Evidence Processorによる自動処理の内容
■ 実行可能な証拠処理の内容
 ・Recover folders
  – FAT/NTFSボリューム上の削除ファイルの復元
 ・Hash analysis
  – MD5/SHA-1ハッシュを用いたファイルの特定、除外
 ・Expand compound files
  – ZIP, RAR, GZ等の圧縮ファイルの展開。
 ・Find email
  – メールメッセージの抽出。
  PST(Microsoft® Outlook), NSF (Lotus® Notes),
  DBX (Microsoft® Outlook Express), EMLX,
  AOL, MBOX,EDB (Microsoft® Exchange)
 ・Find internet artifacts
  – インターネット関連アーティファクト(履歴、キャッシュ)の収集
  – 未割当領域からのアーティファクト検索
 ・Search for keywords
  – 特定キーワードのテキストサーチを実行
 ・Index text
  – インデックス作成。圧縮ファイル内の検索
  – インデックス作成時のパラメーター調整
 ・File signature analysis
  – ファイル拡張子の変更の有無、不一致の比較調査
 ・Protected file analysis
  – 暗号化もしくはパスワード保護されたファイルの特定
 ・Creating thumbnails from images
  – イメージのサムネイルを作成しEnCase GUI上の表示を高速化

Search Queries – Index :

インデックス検索

■ インデックスの作成方法
 ・インデックス作成の利点、キーワード検索との違い
 ・インデックス作成時のパラメーター変更
  – 最小文字数、無視する語句の一覧、Asian Languageサポート
■ インデックス検索の実行方法
 ・「View」 > 「Indexed Items」
 ・検索クエリ(“or”もしくは“and”との併用)

Raw Keyword Searching :

キーワード検索

■ キーワード検索の仕組み
 ・キーワード検索の対象(論理ファイル、未割当領域)
 ・断片化したファイル内のキーワード検索の可否
■ キーワード検索時のオプション設定
 ・Case Sensitive(大文字小文字の区別)
 ・GREPやUnicode検索との併用

Global Regular Expression and Print (GREP) :

正規表現

■ 正規表現の利用
 ・「*」 直前の文字が0回以上出現した場合に一致
 ・「+」 直前の文字が1回以上出現した場合に一致
■ EnCaseの拡張正規表現の利用
 ・「#」 あらゆる数字に一致。[0-9]と同義。
 ・「\x」 16進数を指定して検索

File Signature and Hash Analysis

ファイルシグネチャ解析
ハッシュ解析

■ ファイルシグネチャ
 ・解析の仕組み  ・ファイルタイプの判定と「FileTypes.ini」の役割
 ・新規シグネチャの手動追加
■ ハッシュを利用したファイル特定、除外

Hash Sets and Hash Library

ハッシュの管理

■ ハッシュセットの構成
 ・ハッシュ値の計算対象データの範囲(ファイル名や日時情報は除外)
 ・ハッシュセットを除外可能
 ・ケースに応じたハッシュライブラリの使用

 

【OSやハードウェアの理解】

Understanding Data and Binary:

データとバイナリの理解

■ ビット数に応じた名称
 ・Bit / Nibble / Byte / Word / Dword / Qword
■ 文字コード
 ・ASCII(American Standard Code for Information Interchange)
 ・Unicode
■ BIOS (Basic Input/Output System)

File System Fundamentals:

ファイルシステムの基礎

■ ファイル・スラック
 ・セクター/RAM・スラック
  – 通常、0x00。Windows 95A以前の実データ残存の可能性
 ・ドライブ・スラックの理解
  – 従前のデータが残存する可能性 ■ FAT (File Allocation Table)
 ・FATが追跡する主な項目
  – ファイルの断片化情報
  – パーティション内のアドレス割り当て可能なクラスター
 ・ディレクトリーレコード
  – ファイル名
  – 日時情報(作成、アクセス、更新日時)
  – 開始クラスター
  – ファイルの論理サイズ
 ・削除時の変化(「0xE5」の付与)
 ・ディレクトリエントリーレコード
 ・“Deleted/Overwritten”の判断基準
■ FATのバージョン、割り当て可能クラスター数の理解
 ・FAT 16
  – 2 ^ 16 = 65,536
 ・FAT 32
  – 2 ^ 28 = 268,435,456
  – リザーブドエリアがあり、2 ^ 32ではない点に注意
 ・バックアップ用途のFAT

File Systems – exFAT:

exFATの理解

■ exFATの仕組み
 ・アドレス管理の内容。4,294,967,285 (2^32 – 11)
 ・FATとの比較
 ・Bitmap
 ・Stream Extension Record
 ・File Name Extension Record
 ・断片化ファイルの復元

File Systems – NTFS:

NTFSの理解

■ MFT (Master File Table)
 – 役割、各1024バイトレコードの記録方法
■ Bitmapファイル
■ Residentファイル

Computer Hardware Concepts:

ハードウェアの理解

■ 基本的な用語、概念の理解
 ・CPU (Central Processing Unit)
 ・RAM (Random Access Memory)
 ・ROM (Read Only Memory)
 ・NIC (Network Interface Cards)
 ・SCSI (Small Computer System Interface)
 ・IDE (Integrated Drive Electronics)
 ・SATA (Serial Advanced Technology Attachment)
■ ハードドライブのデータアクセス方式
 ・CHS (Cylinder/Heads/Sectors)
 ・LBA (Logical Block Addressing)
■ パーティション関連の情報
 ・Master Partition Table
 ・Volume Boot Record
 ・パーティションの復元

Operating System Artifacts :

OSのアーティファクト

■ ゴミ箱(Recycler)
■ NTFSディレクトリエントリとディレクトリ構造
■ Windowsアーティファクト
 ・最近使った項目(Recent)
 ・Linkファイル
 ・Tempファイル
 ・Internet Explorerの履歴、キャッシュ、お気に入り、Cookie
 ・印刷時のスプールファイル
 ・レジストリファイル
 ・スワップファイル(pagefile.sys)
 ・ハイバネーションファイル(hiberfil.sys)

 

【初動対応や作業手順】

First Response:

初動対応

■ 現場での対応
 ・写真撮影、ドキュメント作成
 ・RAMイメージの取得
  – EnCase® PortableもしくはWinEnの使用
 ・システムの電源断 – 状況に応じた対応
  – 通常のシャットダウン – UNIX/Linuxシステムやサーバー機の場合
  – Pull plug(強制電源断) – 判断基準
 ・ハードドライブの取り外し
 ・BIOSへのアクセス
  – システムの日時、時間情報の確認
  – 起動順の確認
■ 現場でのデータ取得
 ・LinEn (Linux EnCase) CDの利用
  – Tableauの書込防止装置を利用した物理コピー
  – ネットワーククロスオーバーケーブルを利用したコピー
 ・EnCase Portable
  – トリアージもしくはコレクションジョブの実行
  – キーワード検索、スナップショットの取得
 ・外部接続デバイスの検査
 ・証拠のタグ付け、輸送

Acquisition of Digital Evidence:

デジタル証拠の取得

■ EnCaseがサポートするファイルシステムの理解
 ・FAT 12, 16, 32, exFAT
 ・NTFS
 ・EXT2/3/4 (Linux)
 ・Reiser (Linux)
 ・UFS (Solaris)
 ・CDFS (Joliet, ISO9660, UDF)
 ・DVD
 ・Macintosh HFS/HFS+, Mac OS X (BSD)
 ・HP-UX
 ・その他…

■ スマートフォンおよびタブレットの保全
■ 未サポートのファイルシステムへの対応

Laboratory Procedures:

ラボでの作業

■ 証拠データの二次汚染防止
 ・ラボで使用するドライブの準備、データ消去
 ・Chain-of-custody(証拠保管の連続性)の維持
 ・ログによる追跡性の確保、アクセスコントロール

Legal Issues:

法律問題

※ インターナショナル版のEnCE試験では範囲外となります。
(Phase I・IIとも、この範囲からの出題はありません)

 

2017年12月現在の内容です。認定対象のEnCaseのバージョンに応じて、内容が変更される場合があります。

お申込み方法

フォーカスシステムズでは新規・更新の申請代行も承っております。
申請をご希望される組織、人数によって費用が異なりますので、弊社による代理申請ををご希望の方は別途お問い合せ下さい。

お申込み方法

こちらのお申込用紙を当社宛にメール、もしくはFAXしてください。

製品及びサービスに関するご質問、お問合せはこちら