FORENSICS 500 (旧:FORENSICS 408)

Windows Forensic Analysis
 

日程 2019年2月18日(月)~23日(土) (6日間)
講義時間 9:30 ~ 17:30
会場 秋葉原UDX 6階 MAP
講師 Chad Tilbury(SANSシニアインストラクター) >> 講師プロフィール
定員 40名  英語教材・同時通訳
CPEポイント 36 point
受講料 早期割引価格 720,000円(税抜) 通常価格:760,000円(税抜)
オプション GIAC試験 90,000円(税抜)
OnDemand 90,000円(税抜)
NetWars Continuous 145,000円(税抜)
2019年2月21日(木)~22日(金)開催 DFIR NetWars Tournament 無料
お申し込み

受講に必要なPC環境

演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。

FOR500 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCを受講者自らご用意いただきます。下記要件をよく確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
64bit版のWindows、Mac OSX、LinuxをホストOSとして利用することができます。ただし、VMware仮想ソフトウェアを正しくインストールして実行することができるOSを選択してください。このトレーニングで使用する仮想マシンの機能を適切に動作させるためには、8GB以上のRAMが必要になります。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用にフリーツールとしてダウンロードできます。こちらで利用になるノートPCの環境が、64bitのゲストOSを動作させることができるかどうか確認することができます。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation 12VMware Fusion 8VMware Player 12以降のバージョンを選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
ノートパソコンのハードウェア要件
  • CPU:64bit Intel i5 / i7(第4世代以降) - x64 2.0+ GHzプロセッサ以上(必須)
  • 8GB以上のRAM(必須)
  • 無線 802.11 b/g/n(会場に無線LAN環境をご用意しております)
  • USB3.0ポート(強く推奨)
  • 250GB以上の内蔵ハードディスクで、かつ空き容量が200GB以上(必須)
  • ホストOSのローカルアドミニストレーター権限、およびBIOS設定の変更権限(必須)
ノートパソコンのソフトウェア要件
  • Windows (Windows 7以降)、MacOSX(10.10以降)、Linux(2016年以降にリリースされたもの)のいずれかのバージョンであり、かつ最新のパッチが適用されているもの(必須)
  • Winzipまたは 7zipをダウンロードしてインストールすること(必須)
  • USB 3.0デバイスを利用可能にするため、最新の状態のパッチを適用してください。また、LinuxシステムではexFATへのフルアクセスができるようにFUSEモジュール追加も必要になりますので、ご確認ください。
事前インストールするソフトウェア
  1. Microsoft Office Excel(いずれのバージョンでも可) または OpenOffice Calc。Microsoft Officeは、次のページから試用することができます(30日間)
  2. VMware Workstation 12VMware Fusion 8VMware Player 12以降のバージョン
  3. Winzipまたは 7zip
追加で使用する機材(持参不要)

本コースでは、補足演習としてディスクイメージ取得をご自宅で行う宿題が用意してあります。実施は任意で、以降の演習や授業内容と関係はございません。演習を行いたい方は、下記のような3.5インチ IDE または SATAハードディスクを1つご自宅にご用意ください(会場では行いませんので、持参不要です)。

  • eBAYやCraigslistで購入したハードディスク
  • 自宅または会社で使用したハードディスク

(注記)このハードドライブはイメージ取得の補足演習で使います。使用済ドライブはイメージ取得以外に使いません。

セミナーへの参加前の実施事項(上記のまとめ)
  1. 適切なハードウェア条件(64bit/8GB RAM)とOS条件を満たしたノートPCを準備する
  2. VMware(Workstation、Player、Fusion)、MS Office、7zipをインストールする

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。

SANS Secure Japan 2019

2月18日(月)~23日(土)

2月18日(月)~22日(金)

2月25日(月)~3月2日(土)

2月21日(木)~22日(金)

 

コース概要

守るものについて知らなければ、何も守ることはできない
 (You can't protect what you don't know about)

Windowsフォレンジックをマスターする時がきました。

今日すべての組織において、襲いかかるサイバー犯罪への準備をする必要があります。詐欺、インサイダー、産業スパイ、内部不正、不正侵入に立ち向かうアナリストの必要性は今までは高くありませんでした。しかし近年、官公庁は、メディアエクスプロイテーションスペシャリスト(Windowsシステムから重要なインテリジェンスを復元・抽出できる人物)の養成を強く要望するようになりました。SANSはこの要望に応えるため、システムで何が起こったのかを秒単位で把握することができるように、これからもっとも優れたフォレンジックプロフェッショナル、インシデントレスポンダ―、メディアエクスプロイテーションマスターになる新しい幹部たちに対して世界中でトレーニングを実施しています。

FOR500: Windows Forensic Analysisは、Windows OSに対するより深いフォレンジックスキル構築に焦点をあてたコースです。「守るものについて知らなければ、何も守ることはできない」という考え方があります。フォレンジックで出来ることやアーティファクトについて理解することは、今やサイバーセキュリティの必須事項といえるでしょう。このコースで、Windowsシステムでのデータ復旧、分析、検証方法を学んでいきましょう。ネットワーク上のユーザーの行動を詳細に追跡する方法を学習し、インシデントレスポンス、内部不正調査、民事/刑事訴訟において、どう見つかった証拠を整理していけばよいか理解しましょう。あなたがこのコースで身に付ける新しいスキルを存分に活用し、セキュリティツールの検証、脆弱性検査の強化、インサイダーの摘発、ハッカーの追跡、セキュリティポリシーの向上に役立てましょう。Windowsは知らず知らずのうちに、想像を絶するほどの大量なデータを溜め込んでいます。FOR500は、この大量な鉱山ともいえるデータから証拠を発掘する方法を教えます。

正確な分析方法を学ぶには、受講生たちに実際のデータを調べて貰う必要があるでしょう。そのため、FOR500というコースを根本から作成しなおしました。演習を行うラボでは、最新のMicrosoft製品で見つかる証拠を分析して貰います(Windows 7、Windows 8/8.1、10、OfficeおよびOffice 365、クラウドストレージ、Sharepoint、Exchange、Outlook)。これによりトレーニングを終えた受講生たちは、コースで使用した最新のツール・手法を用いて、直面するであろう複雑なシステムであっても立ち向かうことができます。このコースでは、レガシーシステムであるWindows 7から最新のWindows 10アーティファクトの分析まで余すところなく学べます。

FOR500: Windows Forensic Analysisでは、次のことを教えます。

  1. Windows OSに関するより深いフォレンジック手法、メディアエクスプロイテーション(Windows 7、Windows 8/8.1、Windows 10、Windows Server 2008/2012/2016)
  2. アプリケーションがいつ実行したか、ファイルにいつアクセスしたか、データが盗まれたのか、外部記憶媒体は使用されたのか、クラウドサービスが使用されたのか、物理的な地理はどこか、ファイルがダウンロードされたのはいつか、アンチフォレンジックの痕跡はあるか、その他システムの使用に関する詳細な履歴、といった重要な質問に答えるために必要なアーティファクト・証拠の場所や分析方法
  3. 特定ツールの利用方法を教えるのではなく、フォレンジック分析能力向上に焦点をあてる
  4. さまざまなフリーツール、オープンソースツール、商用ツールをSANS Windows SIFT Workstation上で利用して、フォレンジック機能を内製化し重要な問いの答えを導き出す方法

FOR500は継続的にアップデートしています。
本コースは、最新の知的財産犯事例や産業スパイ事例を加味し、半年以上の歳月を掛けて作られました。現実世界に適合させるため、トレーニングで使用するデータは現実に近いものを含むべきだと考えました。私たちコース開発チームは、自身の経験とノウハウを存分に活かし、信じられないほど豊富かつ詳細なシナリオを作成しました。受講生たちは本当のフォレンジック調査をしているかのごとく集中できるでしょう。講義中のデモでは、実業務で役立てるように、最新のWindowsアーティファクトとテクニックを紹介します。また、配布するワークブックテキストにはツールの利用方法やフォレンジック手法について気をつけるべき点など、驚くほどきめ細かいステップ・バイ・ステップの解説が記載されています。

本講座受講にあたっての前提

FOR500は、応用レベルのWindowsフォレンジックコースです。そのため、フォレンジックに関する基礎レベルの解説は省いています。このコースでは、Windows OSとそのアーティファクトについてベンダーフリーのツールを使用して、より深く解析をしていくことを目的としています。

受講対象者

  • サイバーセキュリティプロフェッショナル。Windowsフォレンジック調査について詳細に内容を理解したい方
  • インシデントレスポンスチームメンバー。Windowsに対するデータ侵害や侵入といったインシデントに立ち向かうため、より深いフォレンジックスキルを必要としている方
  • 法執行機関職員、政府職員、調査員。Windowsフォレンジックに関して精通する必要性が出てきた方
  • メディアエクスプロイテーションアナリスト。個人が使用するWindowsシステムに対して、戦術的にエクスプロイテーションをする必要がある、Document and Media Exploitation (DOMEX)をする必要がある方。個人が使用したシステムに関して、誰と通信したのか、どのファイルを編集、ダウンロード、削除したのかを特定することができるようになりたい方
  • Windowsフォレンジックに関して理解を深めたい方。前提知識として、情報システム、サイバーセキュリティ、コンピューターに関して知識・スキルが必要です。
※FOR500は、GIAC(GCFE)認定試験対象コースです。

講義内容の一例

  • Windows Operating Systems Focus (Win7, Win8/8.1, Windows 10, Server 2008/2012/2016)
  • Windows File Systems (NTFS, FAT, exFAT)
  • Advanced Evidence Acquisition Tools and Techniques
  • Registry Forensics
  • Shell Item Forensics
    • Shortcut Files (LNK) - Evidence of File Opening
    • Shellbags - Evidence of Folder Opening
    • JumpLists - Evidence of File Opening/Program Exec
  • Windows Artifact Analysis
    • Facebook, Gmail, Hotmail, Yahoo Chat and Webmail Analysis
    • E-Mail Forensics (Host, Server, Web)
    • Microsoft Office Document Analysis
    • Windows Recycle Bin Analysis
    • File and Picture Metadata Tracking and Examination
    • Prefetch Analysis
  • Event Log File Analysis
  • Firefox, Chrome, and Internet Explorer Browser Forensics
  • Deleted Registry Key and File Recovery
  • String Searching and File Carving
  • Examination of Cases Involving Windows 7, Windows 8/8.1, and Windows 10
  • Media Analysis and Exploitation involving:
    • Tracking user communications using a Windows PC (e-mail, chat, IM, webmail)
    • Identifying if and how the suspect downloaded a specific file to the PC
    • Determining the exact time and number of times a suspect executed a program
    • Showing when any file was first and last opened by a suspect
    • Determining if a suspect had knowledge of a specific file
    • Showing the exact physical location of the system
    • Tracking and analysis of external and USB devices
    • Showing how the suspect logged on to the machine via the console, RDP, or network
    • Recovering and examining browser artifacts, even those used in a private browsing mode
    • Discovering utilization of anti-forensics, including file wiping, time manipulation, and program removal
  • The Course Is Fully Updated to Include Latest Windows 7, 8, 8.1, 10 and Server 2008/2012/2016 Techniques
  • Day 1
  • Day 2
  • Day 3
  • Day 4
  • Day 5
  • Day 6
Day 1

Windowsフォレンジック、高度なデータ復元方法

Windowsフォレンジックコースの1日目は、モバイル、タブレット、クラウドストレージ、最新のWindows OSなど今日の社内環境に接続しているさまざまなデバイスに関する課題を議論していきます。また、SSD(Solid State Devices)といった最新のハードドライブがフォレンジックの証拠保全プロセスに及ぼす影響、これらの新しいテクノロジーの出現に対応するためにどうすればよいかを解説していきます。

ハードドライブ容量は増加傾向にあり、フォレンジック現場では適切に扱うことが困難になってきています。今日では、効率的、かつ、法的訴訟に耐えうる手順(forensically sound)でデータを保全することは、すべてのフォレンジック調査者にとって重要な事項となっています。大半の基礎レベルにあるアナリストたちは、書き込み防止装置を使用して簡単にハードドライブのイメージを取得しています。本コースでは、証拠保全プロセスをよりスピーディーに効率化する方法として、抽出する対象をトリアージして取得する新しいテクニックを紹介します。現在の保全プロセスでは、何時間も、時には何日間も費やしています。メモリイメージ、NTFS MFT、Windowsログ、レジストリ、重要なファイルを短時間で取得する方法をデモンストレーションします。

また、商用ツールとオープンソースツールの両方を使用して、ファイルカービングとストリームベースの証拠抽出方法を解説します。フォレンジック現場で問われる主要な質問に答えるため、特定のデータに絞って調査する方法を学習することで、ベテランの捜査官になるスキル・知識を養成します。

演習

  • オリエンテーションとWindows SIFT Workstationをインストールする
  • Wiebetech Ultradock Write Blockerを使用したハードドライブイメージの証拠保全を行う
  • トリアージを意識した高度なデータ保全とイメージ取得を行う
  • 保全したディスクイメージ、証拠のマウントを行う
  • 空き領域からのOfficeファイルカービング、プリフェッチのシグネチャを追加しプリフェッチファイルをカービングする
  • ページングファイル、メモリイメージ、未割り当て領域(unallocated space)から主要なユーザー情報を復元する
  • チャットセッション、Webメール、ソーシャルネットワーク、プライベートブラウジングを復元する

トピック

Windows Operating System Components
  • Key Differences in Windows Versions
  • Windows 7 and Higher
  • Microsoft Server Variations
Core Forensic Principles
  • Analysis Focus
  • Key Questions
  • Determining Your Scope
   
Live Response and Triage-Based Acquisition Techniques
  • RAM Acquisition
  • Registry Extraction
  • Creating Custom Content Images
  • Triage-Based Forensics - Fast Forensic Acquisition - Key Files
  • Following the Order of Volatility
  • Triage via Custom Content Extraction
Acquisition Review with Write Blocker
Advanced Acquisition Challenges
  • Detecting Encrypted Drives
  • SSD vs. Standard Platter-Based Hard Drives
  • SSD Acquisition Concerns
Windows Image Mounting and Examination
NTFS File System Overview
Document and File Metadata
File Carving
  • Principles of data carving
  • Loss of file System Metadata
  • File Carving Tools
Custom carving signatures
Memory, Pagefile, and Unallocated Space Analysis
  • Artifact Recovery and Examination
  • Facebook Live, MSN Messenger, Yahoo, AIM, GoogleTalk Chat
  • IE8-11, Edge, Firefox, Chrome InPrivate/Recovery URLs
  • Yahoo, Hotmail, G-Mail, Webmail, E-Mail
Day 2

コアWindowsフォレンジックパート1:Windowsレジストリフォレンジックと分析

2日目はWindowsレジストリフォレンジックについて学習します。Windowsレジストリから、大半のフォレンジック調査において、システムおよびユーザーに関する重要な情報が見つかります。どのようにレジストリからユーザープロファイルに関する情報、システム情報を抽出して分析するかを学んでいきます。調査対象のユーザーが行ったキーワード検索、実行したプログラム、開いたり保存したりしたファイル、閲覧したフォルダ、使用した外部記憶媒体をどう証明するか、その方法を学びます。

本章の全体を通して、実際に手を動かして証拠を探し分析するスキルを身に付けていきます。

演習

  • レジストリに含まれる証拠を解析して、コンピューターシステムをプロファイリングする
  • レジストリに含まれる証拠を解析して、ユーザーの行動をプロファイリングする
  • レジストリに含まれるユーザーアシスト(userassist key)を解析して、ユーザーが直近でどのプログラムを使用したのか特定する
  • レジストリに含まれるrecentdocsキーを解析して、最近開いたファイルが何かを特定する
  • 最近開いたOffice 365ファイルを解析して、ファイルが開かれた最初と最後の時間を特定する
  • レジストリに含まれるopen/save keyを解析して、ユーザーが最近開いたフォルダを調べる

トピック

Registry Forensics In-Depth
  • Registry Core
    • Hives, Keys, and Values
    • Registry Last Write Time
    • MRU Lists
    • Deleted Registry Key Recovery
  • Profile Users and Groups
    • Discover Usernames and the SID Mapped to Them
    • Last Login
    • Last Failed Login
    • Login Count
    • Password Policy
  • Core System Information
    • Identify Current Control Set
    • System Name and Version
    • Timezone
    • Local IP Address Information
    • Wireless/Wired/3G Networks
    • Geolocation of PC Network History
    • Network Shares and Offline Caching
    • Last Shutdown Time
  • User Forensic Data
    • Evidence of Program Execution
    • Evidence of File Downloads
    • Evidence of File and Folder Access (Shellbag)
    • Office and Office 365 File History Analysis
    • Windows 7, Windows 8 - Windows 10 Search History
    • Typed Paths and Directories
    • Recent Documents (RecentDocs)
    • Open-> Save/Run Dialog Boxes Evidence
    • Application Execution History via UserAssist Keys
  • Tools Used
    • Registry Explorer
    • TZWork's CAFAE and YARU (Yet Another Registry Utility)
Day 3
 

コアWindowsフォレンジックパート2:USBデバイス、シェル関連、
キーワードサーチ

ファイルを最初に閲覧した日時、最後に閲覧した日時を特定するスキルは、分析スキルにおいて最も重要です。SHELL ITEMSの調査を通じて、ショートカット(LNKファイル)、ジャンプリスト、シェルバッグデータベースを調べれば、簡単にいつ、どんなファイルを開いたのかピンポイントで特定することが可能です。SHELL ITEMSを調べることで得られる知識は、内部またはハッカーが知的財産を盗難するといったユーザアクティビティをトラッキングするために重要です。

外部記憶媒体の調査方法は、フォレンジックの主要トピックになることが多いものです。ここでは、Windows 7~10といった各々の環境上で動作するUSBデバイスについて、どのように調査するか解説していきます。外部記憶デバイスが最初および最後に接続された日時、ベンダー/製造元/モデル、デバイス固有のシリアル番号まで特定する方法を学習していきます。

演習

  • レジストリとファイルシステムを解析して、接続したUSBやBYODデバイスが何かを追跡する
  • USBデバイスを接続した最初と最後の日時を特定する
  • 最後にUSBデバイスを取り外した日時を特定する
  • ショートカット(LNKファイル)を解析して、ファイルの初回/最終閲覧日時を特定する
  • レジストリキーのシェルバッグ(Shellbag)を解析して、いつフォルダにアクセスしたのか特定する
  • ジャンプリスト(Jumplist)を解析して、特定のプログラムでどのファイルにいつアクセスしたかを特定する
  • Bitlocker-To-Goによって暗号化されているUSBデバイスをアンロックする

トピック

Shell Item Forensics
  • Link/Shortcut Files (.lnk) - Evidence of File Opening
  • Win7/Win10 Jump Lists - Evidence of File Opening and Program Execution
  • ShellBag Analysis - Evidence of Folder Opening
USB and Bring Your Own Device (BYOD) Forensic Examinations
  • Vendor/Make/Version
  • Unique Serial Number
  • Last Drive Letter
  • MountPoints2 - Last Drive Mapping Per User
  • Volume Name and Serial Number
  • Username that Used the USB Device
  • Time of First USB Device Connection
  • Time of Last USB Device Connection
  • Time of Last USB Device Removal
  • BYOD Device Forensics
  • Bitlocker-To-Go Encrypted USB Devices
Day 4

コアWindowsフォレンジックパート3:
メール、その他重要なアーティファクト、イベントログ

調査や何らかの証明事案によっては、メールを分析して証拠を抽出することが重要になる場合があります。メールを復元することで、調査で見つかった情報を綺麗につなぎ合わせることが可能となります。また、内部不正の証拠として非常に有力なものとなるのが多いのも特徴です。メールはユーザーが利用するワークステーションのローカル、メールサーバー、プライベートクラウド、複数のウェブメールに保存されています。

Windowsプリフェッチやappcompatcacheのデータなどの追加のアーティファクトは、実行されたことを証明するために最も重要なものです。また、最新のデジタルアーティファクトの1つであるSRUM(System Resource Usage Monitor)は、カウンターフォレンジックプログラムが行われた後においても重要なユーザアクションを特定するのに役立ちます。

4日目の最後は、Windowsログ分析を行います。その他の分析と比べて、より多くのことが分かるのが理解できるでしょう。ログのありかと内容を理解することは、あらゆる調査において非常に有用です。多くの場合、Windowsログをざっと確認します。なぜなら確認すること自体は、ツールや特有の知識が必要ないからです。今まで長い年月を掛けて培われてきた不可欠な知識とスキルを身に付けていきます。

演習

  • 大量のデータから調査対象のメールと添付ファイルを探し出すための、フォレンジックツールの最善の組み合わせ方法を学習する
  • メールのフィルタリング、重複排除、メッセージの類似性といった主要概念を理解する
  • 代表的なメールフォレンジックツール、eディスカバリツールであるNuixの使用方法を学ぶ
  • フォレンジックツールを使って、メールアーカイブから削除されたオブジェクトを復元する
  • データの可視化、タイムライン解析を行う
  • メールアーカイブにあるドキュメントメタデータを解析する
  • リサイクルビン(Recycle bin)を解析する
  • プリフェッチファイルを解析して、9回前の実行日時を特定する
  • SRUM(System Resource Usage Monitor)を解析する
  • イベントログをマージして、高度なフィルタリングを行う
  • アカウントの使用履歴をプロファイリングし、ログオンセッション期間を特定する
  • 時刻改ざんの証拠を見つける
  • その他のレジストリ分析 BYODデバイスの監査
  • 無線ネットワーク関連の履歴を分析し、デバイスの物理的位置を特定する

トピック

E-mail Forensics
  • Evidence of User Communication
  • How E-Mail Works
  • E-Mail Header Examination
  • Determining a Sender's Geographic Location
  • Types of E-Mail Formats
    • Microsoft Outlook
    • Web-Based Mail
    • Microsoft Exchange and Office 365
    • Lotus Notes
  • Exchange Recoverable Items
  • Exchange Evidence Acquisition and Mail Export
  • Exchange Compliance Search and eDiscovery
  • Recovering Deleted E-Mails
  • The Web and Cloud-Based E-mail
  • E-Mail Searching and Examination
Forensicating Additional Windows OS Artifacts
  • Windows Search Index Forensics
  • Extensible Storage Engine (ESE) Database Recovery and Repair
  • Thumbs.db and Thumbscache Files
  • Windows Prefetch Analysis (XP,Windows 7 - Windows 10)
  • Windows Recycle Bin Analysis (XP,Windows 7 - Windows 10)
  • AppCompatCache Analysis (Shimcache and Amcache.hve)
  • System Resource Usage Monitor (SRUM)
    • Connected Networks, Duration, and Bandwidth Usage
    • Applications Run and Bytes Sent/Received Per Application
    • Appllication Push Notifications
    • Energy Usage
Windows Event Log Analysis
  • Which Windows Events Matter to a Digital Forensic Investigator
  • EVTX and EVT Log Files
    • Track Account Usage including RDP, Brute Force Password Attacks, and Rogue Local Account Usage
    • Audit and Analyze File and Folder Access
    • Prove System Time Manipulation
    • Track Bring Your Own Device (BYOD) and External Devices
    • Geo-locate a Device via Event Logs
Day 5

コアWindowsフォレンジックパート4:
Webブラウザーフォレンジック(Firefox、Internet Explorer、Chrome)

現在はWebの使用頻度が増しており、Webベースのアプリケーションやクラウドコンピューティングにシフトしつつあります。このような現状において、ブラウザーフォレンジックのスキルは不可欠なものになっています。5日目は、Internet Explorer、Firefox、Google Chromeで残される証拠を総合的に見ていきます。合わせて、Webブラウザーの証拠を調査する上で必要になる、SQLiteやESEといったデータベースのパーシング方法も学習していきます。また、クッキー、閲覧履歴、ダウンロード履歴、インターネットキャッシュファイル、ブラウザー拡張、フォームデータといった主要なアーティファクトの調査方法も学びます。これらのファイルをどうやって見つけるかをデモンストレーションし、アーティファクトを解釈する上で犯しがちなミスについて解説します。その他に、セッションリストア情報、トラッキングクッキー、プライベートブラウジングで残るアーティファクトなどについても解説を加えていきます。

本章を通じて実際に手を動かして解析することで、Chrome、Firefox、Intert Explorerにより作られた証拠を調査するスキルが身に付くでしょう。

演習

  • ブラウザー履歴とキャッシュファイルにより被疑者の行動を追跡し、ローカル上で開いたファイルを特定する
  • Extensible Storage Engine(ESE)データベースに含まれるアーティファクトを解析する
  • 被疑者がダウンロードしたファイルが何かを調査する
  • 被疑者が入力したURL、クリックしたURL、ブックマークしたURL、ブラウジング中にポップアップしただけのURLを特定する
  • 以前のブラウザーセッションを復元するのに使用されるクラッシュリカバリファイルをパーシングする
  • Google Analyticsのクッキーを活用して、ユーザーの行動をプロファイリングする
  • FirefoxとChromeで利用されているSQLiteデータベースを手動でパーシングする方法を学ぶ
  • アンチフォレンジックを検出し、プライベートブラウジングセッションを見つける
  • オートコンプリートデータを解析する

トピック

Browser Forensics
  • History
  • Cache
  • Searches
  • Downloads
  • Understanding Browser Timestamps
  • Internet Explorer
    • IE Key Forensic File Locations
    • History files: Index.dat and WebCache.dat
    • Cache Index.dat Timestamps
    • Win8 Metro UI Applications
    • Download History
    • InPrivate Browsing Artifact Recovery
    • Internet Explorer Tab Recovery Folder Analysis
    • Browser, Tab, History Synchronization
  • Firefox
    • Firefox Artifact Locations
    • Mork Format and SQLite Files
    • Download History
    • Cache Examinations
    • Typed URLs
    • Form History
    • Private Browsing Mode
    • Session Recovery
    • Firefox Extensions
  • Chrome
    • Chrome File Locations
    • History Information and Page Transition Types
    • Chrome Timestamps
    • Cache Examinations
    • Download History
  • Examination of Browser Artifacts
    • Super Cookies
    • Flash Cookie Files
    • DOM and Web Storage Objects
    • Google Analytics Cookies
  • Tools Used
    • Nirsoft Tools
    • Woanware ChromeForensics
    • SQLite Manager
    • Hindsight
    • ESEDatabaseView
Day 6

Windowsフォレンジックチャレンジ

フォレンジックスキルの向上は、実践が最も効果的です。1週間を通じて見に付けたスキルと知識をフル活用して、フォレンジックチャレンジに挑んでください。午前中に、一緒に作業をするチーム分けをします。配布された証拠を分析し、事件全体の流れを順に行っていきます。法廷で耐えうる形式で適切に証拠を保全し、分析し、報告を行います。コンピューターの利用履歴をプロファイリングし、法廷において提出するであろう重要な証拠をかき集めます。

この複雑なフォレンジックチャレンジは、Windows OSの最新バージョンの1つを利用し行います。使用する証拠はリアルです。今日のトレーニングにおいて、もっとも現実に近いものといえると思います。この事件を解明するためには、いままで学習してきたすべてのスキルと知識をフル活用する必要があります。

そして、最後に模擬裁判を行い、収集した証拠についてプレゼンテーションをして貰います。もっとも優れたプレゼンテーションと簡潔なライトアップ(Write-up)を行ったチームが、このチャレンジ…事件の勝者です!

演習

  • Windows 7/10フォレンジックチャレンジ

トピック

Digital Forensic Case
  • Analysis
    • Following evidence analysis methods discussed throughout the week, find critical evidence.
    • Examine registry, e-mail, recovered files, and more.
  • Reporting
    • Focus and submit the top three pieces of evidence discovered and discuss what they prove factually.
    • Document one of the submitted pieces of evidence for potential examination during the mock trial.
Presentation
  • Each team will be asked to prepare an:
    • Executive Summary
    • Short Presentation
    • Conclusion
  • The team voted to have the best argument and presentation proving their case will win the challenge.

本サイトに記載されている、各会社名、各製品名は、各社の商標または登録商標です。