株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

セキュリティ専門コース

実践!デジタル・フォレンジックコース(3) タイムライン&アーティファクト編~タイムラインによるアーティファクト調査手法~

このサービスについて問い合わせる

【旧コース名:実践!デジタル・フォレンジック中級コース タイムライン&アーティファクト編】

このコースは、侵害調査編の続編として、技術的に一歩進めた内容を取り扱い、より正確な調査結果を目指します。 セキュリティインシデントの原因や影響範囲など、インシデントの全容を解明するためには、OSのアーティファクトに関する知識・技術と共に、ファイルシステムに関する知識も欠かせません。 このコースでは、Windows環境で利用される NTFS/FAT ファイルシステムについて、基本的な構造、$MFTファイルの役割、FILEレコードの構造や"属性"、削除ファイル復元の仕組みについて、原理から目視レベルでの確認方法などを学びます。 また、ファイルシステムが持つタイムスタンプ情報だけでなく、各種アーティファクトが持つタイムスタンプ情報を利用し、全体を俯瞰する解析技術としてタイムライン解析を扱います。 単に痕跡を発見するのではなく、それらの痕跡からどのような結論を導き出せば良いのか、ディスカッションベースの演習で学びます。

こんな方にオススメです

  • CSIRT要員(技術系)

受講の効果

  • Windows環境で利用されるファイルシステム(NTFS・FAT)の基本的な内部構造やタイムスタンプ、削除ファイルの取り扱いについて理解できるようになる
  • Windows環境の代表的な痕跡(アーティファクト)から、タイムラインを生成し、時系列で状況を追跡できるようになる
  • 痕跡(アーティファクト)の基本的な役割や利用方法について理解できるようになる

前提知識

  • 実践!デジタル・フォレンジックコース(2) 侵害調査編 の受講または同等の知識
  • Windows内部に関する基本的な知識とコマンドラインを利用した操作
  • マルウェアの基本的な動作に関する知識
  • 標的型攻撃で利用される一般的な侵害手法に関する知識
コース参考資料(受講予定・受講者向け)
No 資料名 更新日
1

Windowsコマンドライン基本手順

2016/6/22

コース内容

  コース内容 詳細
1日目午前 1.タイムスタンプ概要
  • タイムスタンプ(MAC Time)
  • FAT/NTFS、レジストリキーのタイムスタンプ
  • アーティファクト(遺物・痕跡)が持つタイムスタンプ
2.NTFSファイルシステム基礎
  • MFTファイル、FILEレコード構造
  • F属性、属性リスト
  • レジデント、ノン・レジデント、DataRun
  • MFTレコードとスラック
1日目午後 3.NTFSタイムスタンプ
  • タイムスタンプを管理している属性
  • ツールを利用したタイムスタンプの確認
  • ファイル名属性のタイムスタンプ
  • タイムスタンプの挙動、タイムスタンプの改ざん
  • インデックス属性、その他
4.NTFS削除ファイル
  • ファイルレコード割り当て状況のフラグ
  • MFTレコードの上書き
  • ファイルとフォルダの親子関係、親が不明な削除ファイル
  • MFTレコードと削除ファイル
  • ジャーナルファイルの利用
5.FAT・exFATファイルシステム
  • FATディレクトリエントリ
  • FATタイムスタンプ構造
  • FATファイルシステムにおける削除ファイルの取り扱い
  • exFATディレクトリエントリ
  • exFATタイムスタンプ構造
2日目午前 6.タイムライン(アーティファクト)

6-①PlasoベースのLog2timelineを利用したタイムライン作成
6-②タイムライン:プログラム実行・レジストリ

  • レジストリファイル
  • レジストリ内のタイムスタンプ情報
  • ファイルシステム タイムラインとのマージ

6-③タイムライン:イベントログ・LNKファイル

  • イベントログのタイムライン作成
  • APTケースにおけるイベントID確認項目
  • ショートカットファイル(LNK)のタイムライン作成
  • LNKファイル内のデータ構造(タイムスタンプ)

6-④タイムライン:Web履歴

  • IEのブラウザ履歴
2日目午後 7.標的型攻撃(APT)解析演習
  • 標的型攻撃(APT)の被害を受けた演習用ディスクイメージの解析
  • マルウェア感染や被害状況の確認方法

開催日程・お申込締切日

開催日 お申込締切日
2017年9月14日(木)~ 9月15日(金)
9:30~18:00
2017年9月5日(火)
2017年12月4日(月)~12月5日(火)
10:00~17:30
2017年11月24日(金)
2018年2月22日(木)~2月23日(金)
10:00~17:30
2018年2月13日(火)

開催内容

受講料

300,000円(税抜)/人

お支払方法

前入金によるお支払か、後払いによるお支払(企業様のみ)のいずれかをご選択ください。

研修期間

2日間

定員

20名 最少開催人数5名

会場

株式会社ラック セミナールーム
東京都千代田区平河町2-16-1 平河町森タワー
(最寄り駅地下鉄 永田町駅4番出口から徒歩1分)

アクセス

お問い合わせ

株式会社ラック セキュリティアカデミー事務局

info-academy@lac.co.jp

担当講師

コースリーダー/講師

サイバー救急センター

伊原 秀明

講師

サイバー救急センター

永安 佑希允

郷 晴奈

他、業務現場のシニアメンバー

お申込(個人情報の取り扱いについて)

株式会社ラック(以下「当社」)は、個人情報保護方針に基づいて、お客様、お取引先様、株主の皆様、従業員の方々の個人情報を適切に管理 し、個人情報の保護に努めています。具体的には、当社の個人情報の取り扱いについてをご参照ください。

個人情報の取り扱いについて

お問い合わせ専用フォームは、トライコーン株式会社が提供するWEBマーケティング用顧客管理システム『クライゼル』を利用しております。お 問い合わせフォーム画面は一時的に『クライゼル』のページに移動します。予めご承知おきください。

当社の個人情報の取り扱いに同意いただけますか?

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top