ホーム > 実践!デジタル・フォレンジックコース(3) タイムライン&アーティファクト編~タイムラインによるアーティファクト調査手法~

実践!デジタル・フォレンジックコース(3) タイムライン&アーティファクト編~タイムラインによるアーティファクト調査手法~

コース基本情報

コースタイトル 実践!デジタル・フォレンジックコース(3) タイムライン&アーティファクト編~タイムラインによるアーティファクト調査手法~
コースコード SCC0106R  
コース種別 集合研修 形式 講義+実機演習
期間 2日間 時間 10:00~17:30 価格(税込) 330,000円(税込)
主催 株式会社ラック
コース日程が決定次第、ご案内いたします。
詳しくはお問い合わせください。

重要なご連絡・ご確認事項

2019年10月以降の開催コースより、お申し込みの変更(キャンセル、日程変更)に関する規定が変更となりました。

対象者情報

対象者
・CSIRT要員(技術系)
前提条件
□実践!デジタル・フォレンジックコース(2) 侵害調査編 の受講または同等の知識
□Windows内部に関する基本的な知識とコマンドラインを利用した操作
□マルウェアの基本的な動作に関する知識
□標的型攻撃で利用される一般的な侵害手法に関する知識

学習内容の詳細

コース概要
このコースは、侵害調査編の続編として、技術的に一歩進めた内容を取り扱い、より正確な調査結果を目指します。
セキュリティインシデントの原因や影響範囲など、インシデントの全容を解明するためには、OSのアーティファクトに関する知識・技術と共に、ファイルシステムに関する知識も欠かせません。
このコースでは、Windows環境で利用される NTFS/FAT ファイルシステムについて、基本的な構造、$MFTファイルの役割、FILEレコードの構造や“属性”、削除ファイル復元の仕組みについて、原理から目視レベルでの確認方法などを学びます。
また、ファイルシステムが持つタイムスタンプ情報だけでなく、各種アーティファクトが持つタイムスタンプ情報を利用し、全体を俯瞰する解析技術としてタイムライン解析を扱います。
単に痕跡を発見するのではなく、それらの痕跡からどのような結論を導き出せば良いのか、ディスカッションベースの演習で学びます。
学習目標
● Windows環境で利用されるファイルシステム(NTFS・FAT)の基本的な内部構造やタイムスタンプ、削除ファイルの取り扱いについて理解できるようになる
● Windows環境の代表的な痕跡(アーティファクト)から、タイムラインを生成し、時系列で状況を追跡できるようになる
● 痕跡(アーティファクト)の基本的な役割や利用方法について理解できるようになる
学習内容
1日目午前

1. タイムスタンプ概要
  - タイムスタンプ(MAC Time)
  - FAT/NTFS、レジストリキーのタイムスタンプ
  - アーティファクト(遺物・痕跡)が持つタイムスタンプ

2. NTFSファイルシステム基礎
  - MFTファイル、FILEレコード構造
  - 属性、属性リスト
  - レジデント、ノン・レジデント、DataRun
  - MFTレコードとスラック

1日目午後

3. NTFSタイムスタンプ
  - タイムスタンプを管理している属性
  - ツールを利用したタイムスタンプの確認
  - ファイル名属性のタイムスタンプ
  - タイムスタンプの挙動、タイムスタンプの改ざん
  - インデックス属性、その他

4. NTFS削除ファイル
  - ファイルレコード割り当て状況のフラグ
  - MFTレコードの上書き
  - ファイルとフォルダの親子関係、親が不明な削除ファイル
  - MFTレコードと削除ファイル
  - ジャーナルファイルの利用

5. FAT・exFATファイルシステム
  - FATディレクトリエントリ
  - FATタイムスタンプ構造
  - FATファイルシステムにおける削除ファイルの取り扱い
  - exFATディレクトリエントリ
  - exFATタイムスタンプ構造

2日目午前

6. タイムライン(アーティファクト)
  6-① PlasoベースのLog2timelineを利用したタイムライン作成
  6-② タイムライン:プログラム実行・レジストリ
  - レジストリファイル
  - レジストリ内のタイムスタンプ情報
  - ファイルシステム タイムラインとのマージ
  6-③タイムライン:イベントログ・LNKファイル
  - イベントログのタイムライン作成
  - APTケースにおけるイベントID確認項目
  - ショートカットファイル(LNK)のタイムライン作成
  - LNKファイル内のデータ構造(タイムスタンプ)
  6-④タイムライン:Web履歴
  - IEのブラウザ履歴

2日目午後

7. 標的型攻撃(APT)解析演習
  - 標的型攻撃(APT)の被害を受けた演習用ディスクイメージの解析
  - マルウェア感染や被害状況の確認方法

ご注意・ご連絡事項

・最少催行人数に達しない場合には中止になる場合がございます。
・コース内容は変更される可能性があります。
・株式会社ラック開催コースの受講お申し込みは11営業日前まで、キャンセル・日程変更は11営業日前まで、受講者変更は2営業日前までとさせていただきます。日程変更は同一コースにつき一回限りです。

なお、キャンセル料の扱いは以下のとおりです。
・コース開始日の10営業日前以降:受講料の全額を請求
・日程変更後のキャンセル:お申し出日に関わらず受講料の全額を請求