FORENSICS 500 (旧:FORENSICS 408) | ||||||||||||||||||||||||||||||||||||
Windows Forensic Analysis |
||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
FOR500 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCを受講者自らご用意いただきます。下記要件をよく確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
64bit版のWindows、Mac OSX、LinuxをホストOSとして利用することができます。ただし、VMware仮想ソフトウェアを正しくインストールして実行することができるOSを選択してください。このトレーニングで使用する仮想マシンの機能を適切に動作させるためには、8GB以上のRAMが必要になります。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用にフリーツールとしてダウンロードできます。こちらで利用になるノートPCの環境が、64bitのゲストOSを動作させることができるかどうか確認することができます。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation 12、VMware Fusion 8、VMware Player 12以降のバージョンを選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
ノートパソコンのハードウェア要件
- CPU:64bit Intel i5 / i7(第4世代以降) - x64 2.0+ GHzプロセッサ以上(必須)
- 8GB以上のRAM(必須)快適に演習を進めるためには16GBを推奨
- 無線 802.11 b/g/n(会場に無線LAN環境をご用意しております)
- USB3.0ポート(強く推奨)
- 250GB以上の内蔵ハードディスクで、かつ空き容量が200GB以上(必須)
- ホストOSのローカルアドミニストレーター権限、およびBIOS設定の変更権限(必須)
ノートパソコンのソフトウェア要件
- Windows (Windows 7以降)、MacOSX(10.10以降)、Linux(2016年以降にリリースされたもの)のいずれかのバージョンであり、かつ最新のパッチが適用されているもの(必須)
- Winzipまたは 7zipをダウンロードしてインストールすること(必須)
- USB 3.0デバイスを利用可能にするため、最新の状態のパッチを適用してください。また、LinuxシステムではexFATへのフルアクセスができるようにFUSEモジュール追加も必要になりますので、ご確認ください。
事前インストールするソフトウェア
- Microsoft Office Excel(いずれのバージョンでも可) または OpenOffice Calc。Microsoft Officeは、次のページから試用することができます(30日間)
- VMware Workstation 12、VMware Fusion 8、VMware Player 12以降のバージョン
- Winzipまたは 7zip
追加で使用する機材(持参不要)
本コースでは、補足演習としてディスクイメージ取得をご自宅で行う宿題が用意してあります。実施は任意で、以降の演習や授業内容と関係はございません。演習を行いたい方は、下記のような3.5インチ IDE または SATAハードディスクを1つご自宅にご用意ください(会場では行いませんので、持参不要です)。
- eBAYやCraigslistで購入したハードディスク
- 自宅または会社で使用したハードディスク
(注記)このハードドライブはイメージ取得の補足演習で使います。使用済ドライブはイメージ取得以外に使いません。
セミナーへの参加前の実施事項(上記のまとめ)
- 適切なハードウェア条件(64bit/8GB RAM)とOS条件を満たしたノートPCを準備する
- VMware(Workstation、Player、Fusion)、MS Office、7zipをインストールする
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
コース概要
守るものについて知らなければ、何も守ることはできない
(You can't protect what you don't know about)
Windowsフォレンジックをマスターする時がきました。
今日すべての組織において、襲いかかるサイバー犯罪への準備をする必要があります。詐欺、インサイダー、産業スパイ、内部不正、不正侵入に立ち向かうアナリストの必要性は今までは高くありませんでした。しかし近年、官公庁は、メディアエクスプロイテーションスペシャリスト(Windowsシステムから重要なインテリジェンスを復元・抽出できる人物)の養成を強く要望するようになりました。SANSはこの要望に応えるため、システムで何が起こったのかを秒単位で把握することができるように、これからもっとも優れたフォレンジックプロフェッショナル、インシデントレスポンダ―、メディアエクスプロイテーションマスターになる新しい幹部たちに対して世界中でトレーニングを実施しています。
FOR500: Windows Forensic Analysisは、Windows OSに対するより深いフォレンジックスキル構築に焦点をあてたコースです。「守るものについて知らなければ、何も守ることはできない」という考え方があります。フォレンジックで出来ることやアーティファクトについて理解することは、今やサイバーセキュリティの必須事項といえるでしょう。このコースで、Windowsシステムでのデータ復旧、分析、検証方法を学んでいきましょう。ネットワーク上のユーザーの行動を詳細に追跡する方法を学習し、インシデントレスポンス、内部不正調査、民事/刑事訴訟において、どう見つかった証拠を整理していけばよいか理解しましょう。あなたがこのコースで身に付ける新しいスキルを存分に活用し、セキュリティツールの検証、脆弱性検査の強化、インサイダーの摘発、ハッカーの追跡、セキュリティポリシーの向上に役立てましょう。Windowsは知らず知らずのうちに、想像を絶するほどの大量なデータを溜め込んでいます。FOR500は、この大量な鉱山ともいえるデータから証拠を発掘する方法を教えます。
正確な分析方法を学ぶには、受講生たちに実際のデータを調べて貰う必要があるでしょう。そのため、FOR500というコースを根本から作成しなおしました。演習を行うラボでは、最新のMicrosoft製品で見つかる証拠を分析して貰います(Windows 7、Windows 8/8.1、10、OfficeおよびOffice 365、クラウドストレージ、Sharepoint、Exchange、Outlook)。これによりトレーニングを終えた受講生たちは、コースで使用した最新のツール・手法を用いて、直面するであろう複雑なシステムであっても立ち向かうことができます。このコースでは、レガシーシステムであるWindows 7から最新のWindows 10アーティファクトの分析まで余すところなく学べます。
FOR500: Windows Forensic Analysisでは、次のことを教えます。
- Windows OSに関するより深いフォレンジック手法、メディアエクスプロイテーション(Windows 7、Windows 8/8.1、Windows 10、Windows Server 2008/2012/2016)
- アプリケーションがいつ実行したか、ファイルにいつアクセスしたか、データが盗まれたのか、外部記憶媒体は使用されたのか、クラウドサービスが使用されたのか、物理的な地理はどこか、ファイルがダウンロードされたのはいつか、アンチフォレンジックの痕跡はあるか、その他システムの使用に関する詳細な履歴、といった重要な質問に答えるために必要なアーティファクト・証拠の場所や分析方法
- 特定ツールの利用方法を教えるのではなく、フォレンジック分析能力向上に焦点をあてる
- さまざまなフリーツール、オープンソースツール、商用ツールをSANS Windows SIFT Workstation上で利用して、フォレンジック機能を内製化し重要な問いの答えを導き出す方法
FOR500は継続的にアップデートしています。
本コースは、最新の知的財産犯事例や産業スパイ事例を加味し、半年以上の歳月を掛けて作られました。現実世界に適合させるため、トレーニングで使用するデータは現実に近いものを含むべきだと考えました。私たちコース開発チームは、自身の経験とノウハウを存分に活かし、信じられないほど豊富かつ詳細なシナリオを作成しました。受講生たちは本当のフォレンジック調査をしているかのごとく集中できるでしょう。講義中のデモでは、実業務で役立てるように、最新のWindowsアーティファクトとテクニックを紹介します。また、配布するワークブックテキストにはツールの利用方法やフォレンジック手法について気をつけるべき点など、驚くほどきめ細かいステップ・バイ・ステップの解説が記載されています。
本講座受講にあたっての前提
FOR500は、応用レベルのWindowsフォレンジックコースです。そのため、フォレンジックに関する基礎レベルの解説は省いています。このコースでは、Windows OSとそのアーティファクトについてベンダーフリーのツールを使用して、より深く解析をしていくことを目的としています。
コースメニューへ▲ ページトップへ▲
受講対象者
- サイバーセキュリティプロフェッショナル。Windowsフォレンジック調査について詳細に内容を理解したい方
- インシデントレスポンスチームメンバー。Windowsに対するデータ侵害や侵入といったインシデントに立ち向かうため、より深いフォレンジックスキルを必要としている方
- 法執行機関職員、政府職員、調査員。Windowsフォレンジックに関して精通する必要性が出てきた方
- メディアエクスプロイテーションアナリスト。個人が使用するWindowsシステムに対して、戦術的にエクスプロイテーションをする必要がある、Document and Media Exploitation (DOMEX)をする必要がある方。個人が使用したシステムに関して、誰と通信したのか、どのファイルを編集、ダウンロード、削除したのかを特定することができるようになりたい方
- Windowsフォレンジックに関して理解を深めたい方。前提知識として、情報システム、サイバーセキュリティ、コンピューターに関して知識・スキルが必要です。
コースメニューへ▲ ページトップへ▲
講義内容の一例
- Windows オペレーティングシステム (Windows 7, Windows 8/8.1, Windows 10, Server 2008/2012/2016)
- Windows ファイルシステム (NTFS, FAT, exFAT)
- アドバンストエビデンス取得ツールとテクニック
- レジストリフォレンジック
- Shell アイテムフォレンジック
- ショートカットファイル(LNK)- ファイルオープンの証拠
- Shellbags - フォルダオープンの証拠
- JumpLists - ファイルオープン・プログラム実行の証拠
- Windows アーティファクト分析
- Facebook, Gmail, Hotmail, Yahoo Chat, Webメール分析
- メール マイクロソフトOffice文書分析
- システムリソース使用法データベース
- Windows 10 タイムラインデータベース
- Windows Recycle Bin 分析
- ファイルと画像のメタデータトラッキングと検証
- プリフェッチ分析
- イベントログファイル分析
- Firefox, Chrome, Edge, Internet Explorerブラウザフォレンジック
- 削除されたレジストリキーとファイルのリカバリ
- レジストリとESEデータベース.logファイルから欠落したデータのリカバリ
- 文字列検索とファイルカービング
- Windows 7, Windows 8/8.1, and Windows 10に関連する検証ケーススタディ
- メディア分析と下記のエクスプロイト
- Windows PCを使用したユーザー通信の追跡 (Email, Chat, IM, Webmail)
- 容疑者が特定のファイルをPCにダウンロードしたかどうかとその方法の特定
- 容疑者がプログラムを実行した正確な時間と回数の特定
- 容疑者がファイルを最初に開いたときと最後に開いたときを表示する
- 容疑者が特定のファイルを知っていたかどうかの確認
- システムの正確な物理的位置の表示
- 外付けデバイスとUSBデバイスの追跡と分析
- コンソール、RDP、またはネットワーク経由でマシンにログオンした疑いのあるユーザーの表示
- プライベートブラウジングモード使用時におけるブラウザアーティファクトのリカバリと調査
- ファイルの削除、時間の操作、プログラムの削除など、アンチフォレンジックの使用状況の検出
このコースは、Windows7、8、8.1、10、およびServer 2008、2012、2016などの最新のテクニックを含むように更新されています
コースメニューへ▲ ページトップへ▲
Windowsフォレンジック、高度なデータ復元方法
Windowsフォレンジックコースの1日目は、モバイル、タブレット、クラウドストレージ、最新のWindows OSなど今日の社内環境に接続しているさまざまなデバイスに関する課題を議論していきます。また、SSD(Solid State Devices)といった最新のハードドライブがフォレンジックの証拠保全プロセスに及ぼす影響、これらの新しいテクノロジーの出現に対応するためにどうすればよいかを解説していきます。
ハードドライブ容量は増加傾向にあり、フォレンジック現場では適切に扱うことが困難になってきています。今日では、効率的、かつ、法的訴訟に耐えうる手順(forensically sound)でデータを保全することは、すべてのフォレンジック調査者にとって重要な事項となっています。大半の基礎レベルにあるアナリストたちは、書き込み防止装置を使用して簡単にハードドライブのイメージを取得しています。本コースでは、証拠保全プロセスをよりスピーディーに効率化する方法として、抽出する対象をトリアージして取得する新しいテクニックを紹介します。現在の保全プロセスでは、何時間も、時には何日間も費やしています。メモリイメージ、NTFS MFT、Windowsログ、レジストリ、重要なファイルを短時間で取得する方法をデモンストレーションします。
また、商用ツールとオープンソースツールの両方を使用して、ファイルカービングとストリームベースの証拠抽出方法を解説します。フォレンジック現場で問われる主要な質問に答えるため、特定のデータに絞って調査する方法を学習することで、ベテランの捜査官になるスキル・知識を養成します。
演習
- オリエンテーションとWindows SIFT Workstationをインストールする
- Wiebetech Ultradock Write Blockerを使用したハードドライブイメージの証拠保全を行う
- トリアージを意識した高度なデータ保全とイメージ取得を行う
- 保全したディスクイメージ、証拠のマウントを行う
- 空き領域からのOfficeファイルカービング、プリフェッチのシグネチャを追加しプリフェッチファイルをカービングする
- ページングファイル、メモリイメージ、未割り当て領域(unallocated space)から主要なユーザー情報を復元する
- チャットセッション、Webメール、ソーシャルネットワーク、プライベートブラウジングを復元する
トピック
Windows オペレーティングシステムコンポーネント
- Windowsバージョン間での違い
- Windows 7とそれ以上
- Microsoft Server シリーズ
フォレンジックの原則
- 分析対象
- キーとなる質問
- スコープの決定
ライブレスポンスとトリアージ技術
- RAMの確保
- レジストリの展開
- カスタムコンテンツイメージの作成
- トリアージをベースにしたフォレンジック
- Volatilityの順番
- トリアージを経由したカスタムコンテンツの展開
書込み防止と取得レビュー
高度な取得チャレンジ
- 暗号化ドライブの検知
- SD メモリと標準HDD
- SSD取得時の 懸念事項
Windowsイメージのマウントと検証
NTFSファイルシステムの概要
ドキュメントとファイルのメタデータ
ファイルカービング
- データカービングの原理
- メタデータファイルシステムの消失
- ファイルカービングツール
独自カービングシグネチャ
メモリ、ページファイル、未割り当てスペースの分析
- アーティファクトのリカバリと検証
- Facebook Live、MSN Messenger、 Yahoo、AIM、GoogleTalk Chat
- IE8-11, Edge, Firefox, Chrome InPrivate/リカバリURLs
- Yahoo, Hotmail, G-Mail, Webmail, E-Mail
コアWindowsフォレンジックパート1:Windowsレジストリフォレンジックと分析
2日目はWindowsレジストリフォレンジックについて学習します。Windowsレジストリから、大半のフォレンジック調査において、システムおよびユーザーに関する重要な情報が見つかります。どのようにレジストリからユーザープロファイルに関する情報、システム情報を抽出して分析するかを学んでいきます。調査対象のユーザーが行ったキーワード検索、実行したプログラム、開いたり保存したりしたファイル、閲覧したフォルダ、使用した外部記憶媒体をどう証明するか、その方法を学びます。
本章の全体を通して、実際に手を動かして証拠を探し分析するスキルを身に付けていきます。
演習
- レジストリに含まれる証拠を解析して、コンピューターシステムをプロファイリングする
- レジストリに含まれる証拠を解析して、ユーザーの行動をプロファイリングする
- レジストリに含まれるユーザーアシスト(userassist key)を解析して、ユーザーが直近でどのプログラムを使用したのか特定する
- レジストリに含まれるrecentdocsキーを解析して、最近開いたファイルが何かを特定する
- 最近開いたOffice 365ファイルを解析して、ファイルが開かれた最初と最後の時間を特定する
- レジストリに含まれるopen/save keyを解析して、ユーザーが最近開いたフォルダを調べる
トピック
詳細レジストリフォレンジック
- レジストリコア
- ハイブ、キー、値
- レジストリの最終書き込み時刻
- MRUリスト
- 削除されたレジストリキーのリカバリ
- 汚染されたレジストリの特定と紛失したデータのリカバリ
- 複数ハイブの検索とタイムライン化
- ユーザーとグループのプロファイリング
- ユーザー名とそこに紐づいたSIDを発見する
- 最終ログイン
- 最終失敗ログイン
- ログイン回数
- パスワードポリシー
- 重要なシステム情報
- 現コントロールセットの特定
- システム名とそのバージョン
- タイムゾーン
- ローカルIPアドレス情報
- 無線、有線、3Gネットワーク
- コネクテッドネットワーク監査と機器の位置情報
- ネットワーク共有とオフラインキャッシュ
- 最終シャットダウン時間
- レジストリベースの持続的マルウェア
- ユーザのフォレンジックデータ
- ファイルダウンロードの証拠
- OfficeとOffice 365のファイル履歴分析
- Windows 7、Windows 8/8.1、Windows 10 での検索履歴
- パスとディレクトリ
- 最近使ったドキュメント
- 開く>保存・実行ダイアログボックスによる証拠
- ユーザー補助を経由したアプリケーション実行履歴、シムキャッシュ、最近使ったアプリケーション、AmCache、BAM/DAM
- 使用するツール
- レジストリエクスプローラー
- TZWork's CAFAE and YARU (Yet Another Registry Utility)
コアWindowsフォレンジックパート2:USBデバイス、シェル関連、
キーワードサーチ
ファイルを最初に閲覧した日時、最後に閲覧した日時を特定するスキルは、分析スキルにおいて最も重要です。SHELL ITEMSの調査を通じて、ショートカット(LNKファイル)、ジャンプリスト、シェルバッグデータベースを調べれば、簡単にいつ、どんなファイルを開いたのかピンポイントで特定することが可能です。SHELL ITEMSを調べることで得られる知識は、内部またはハッカーが知的財産を盗難するといったユーザアクティビティをトラッキングするために重要です。
外部記憶媒体の調査方法は、フォレンジックの主要トピックになることが多いものです。ここでは、Windows 7~10といった各々の環境上で動作するUSBデバイスについて、どのように調査するか解説していきます。外部記憶デバイスが最初および最後に接続された日時、ベンダー/製造元/モデル、デバイス固有のシリアル番号まで特定する方法を学習していきます。
演習
- レジストリとファイルシステムを解析して、接続したUSBやBYODデバイスが何かを追跡する
- USBデバイスを接続した最初と最後の日時を特定する
- 最後にUSBデバイスを取り外した日時を特定する
- ショートカット(LNKファイル)を解析して、ファイルの初回/最終閲覧日時を特定する
- レジストリキーのシェルバッグ(Shellbag)を解析して、いつフォルダにアクセスしたのか特定する
- ジャンプリスト(Jumplist)を解析して、特定のプログラムでどのファイルにいつアクセスしたかを特定する
- Bitlocker-To-Goによって暗号化されているUSBデバイスをアンロックする
トピック
Shell Item Forensics
- リンク・ショートカット:ファイル開封の証跡
- Windows7/Windows10ジャンプリスト:ファイル開封とプログラム実行の証跡
- Shellバグ分析 フォルダアクセスの証跡
USBとBYOD端末のフォレンジック
- 製造元/モデル/バージョン
- シリアル番号
- ラストドライブレター
- マウントポイント2 ユーザ毎のラストドライブ(共有含む)
- ボリューム名とシリアル番号
- USB機器を使用したユーザー名
- 最初にUSB機器を接続した時刻
- 最後にUSB機器を接続した時刻
- 最後にUSB機器を取り外した時刻
- 大規模なBYOD機器の監査
- Bitlocker -可搬可能なUSB機器の暗号化
コアWindowsフォレンジックパート3:
メール、その他重要なアーティファクト、イベントログ
調査や何らかの証明事案によっては、メールを分析して証拠を抽出することが重要になる場合があります。メールを復元することで、調査で見つかった情報を綺麗につなぎ合わせることが可能となります。また、内部不正の証拠として非常に有力なものとなるのが多いのも特徴です。メールはユーザーが利用するワークステーションのローカル、メールサーバー、プライベートクラウド、複数のウェブメールに保存されています。
Windowsプリフェッチやappcompatcacheのデータなどの追加のアーティファクトは、実行されたことを証明するために最も重要なものです。また、最新のデジタルアーティファクトの1つであるSRUM(System Resource Usage Monitor)は、カウンターフォレンジックプログラムが行われた後においても重要なユーザアクションを特定するのに役立ちます。
4日目の最後は、Windowsログ分析を行います。その他の分析と比べて、より多くのことが分かるのが理解できるでしょう。ログのありかと内容を理解することは、あらゆる調査において非常に有用です。多くの場合、Windowsログをざっと確認します。なぜなら確認すること自体は、ツールや特有の知識が必要ないからです。今まで長い年月を掛けて培われてきた不可欠な知識とスキルを身に付けていきます。
演習
- 大量のデータから調査対象のメールと添付ファイルを探し出すための、フォレンジックツールの最善の組み合わせ方法を学習する
- メッセージヘッダーとメールの信頼性をSPFとDKIMを用いて分析する
- 拡張MAPIヘッダーをどのように調査で活用するかを学ぶ
- ExchangeやOffice365から効率よく証拠を収集する
- 最新のOffice365統合監査ログを学ぶ
- ウェブメールやモバイルメールの残骸を探索する
- メールのフィルタリング、重複除外、メッセージの類似性といった主要概念を理解する
- フォレンジックツールを使って、メールアーカイブから削除されたオブジェクトを復元する
- 代表的なメールフォレンジックツール、eディスカバリツールの経験値を上げる
- データの可視化、タイムライン解析を行う
- メールアーカイブにあるドキュメントメタデータを解析する
- 複数バージョンのリサイクルビン(Recycle Bin)を解析する
- Windowsプリフェッチファイルを解析し、アプリケーションの実行時刻を特定する
- SRUM(System Resource Usage Monitor)を利用しWindowsフォレンジックでは今まで回答されなかった質問に対応する
- イベントログをマージして、高度なフィルタリングを行う
- アカウントの使用履歴をプロファイリングし、ログオンセッション期間を特定する
- 監査ファイルおよびフォルダへのアクセス
- 時刻改ざんの証拠を見つける
- その他のレジストリ分析 BYODデバイスの監査
- 無線ネットワーク関連の履歴を分析し、デバイスの物理的位置を特定する
トピック
メールフォレンジック
- 通信内容の証拠
- 電子メールの仕組み
- メールヘッダーの検証
- メールの信頼性
- 送信者位置情報の特定
- 拡張MAPIヘッダ
- ホストベースメールフォレンジック
- Exchangeにおけるリカバリー可能なアイテム
- Exchangeにおける証拠取得とメールのエクスポート
- Exchangeのコンプライアンス検索とeDiscovery
- Office 365の統一監査ログ
- 削除済みメールのリカバリ
- Webおよびクラウドベースのメール
- モバイルメールの残骸
Windows OSアーティファクトのフォレンジック
- Windowsサーチインデックスフォレンジック
- ESEデータベースのリカバリと改修
- Thumbs.sbとThumbscacheファイル
- Windowsプリフェッチ分析(XP、Windows 7~Windows 10)
- Windows Recycle Bin分析(XP、Windows 7~Windows 10)
- Windows 10タイムラインデータベース
- System Resource Usage Monitor(SRUM)
- 接続ネットワーク、その期間と帯域の使い方
- アプリケーションの実行とアプリケーション毎のデータの送受信
- アプリケーションプッシュ通知
- 電源の使用方法
Windowsイベントログ分析
- フォレンジック官に影響するエベントログ
- EVTXとECTログファイル
- RDP、ブルートパスワード攻撃などのアカウント(不良なものを含む)使用状況のトラック
- ファイルとフォルダアクセスの監査と分析
- システムタイムの操作の証明
- BYOD端末と外部デバイスのトラック
- イベントログからのデバイス位置情報の割出し
コアWindowsフォレンジックパート4:
Webブラウザーフォレンジック(Firefox、Internet Explorer、Chrome)
現在はWebの使用頻度が増しており、Webベースのアプリケーションやクラウドコンピューティングにシフトしつつあります。このような現状において、ブラウザーフォレンジックのスキルは不可欠なものになっています。5日目は、Internet Explorer、Firefox、Google Chrome、Edgeで残される証拠を総合的に見ていきます。合わせて、Webブラウザーの証拠を調査する上で必要になる、SQLiteやESEといったデータベースのパーシング方法も学習していきます。また、クッキー、閲覧履歴、ダウンロード履歴、インターネットキャッシュファイル、ブラウザー拡張、フォームデータといった主要なアーティファクトの調査方法も学びます。これらのファイルをどうやって見つけるかをデモンストレーションし、アーティファクトを解釈する上で犯しがちなミスについて解説します。その他に、セッションリストア情報、トラッキングクッキー、プライベートブラウジングで残るアーティファクトなどについても解説を加えていきます。
本章を通じて実際に手を動かして解析することで、Chrome、Firefox、Edge、Internet Explorer、Torにより作られた証拠を調査するスキルが身に付くでしょう。
演習
- ブラウザー履歴とキャッシュファイルにより被疑者の行動を追跡し、ローカル上で開いたファイルを特定する
- Extensible Storage Engine(ESE)データベースに含まれるアーティファクトを解析する
- 被疑者がダウンロードしたファイルが何かを調査する
- 被疑者が入力したURL、クリックしたURL、ブックマークしたURL、ブラウジング中にポップアップしただけのURLを特定する
- 以前のブラウザーセッションを復元するのに使用されるクラッシュリカバリファイルをパーシングする
- Google Analyticsのクッキーを活用して、ユーザーの行動をプロファイリングする
- FirefoxとChromeで利用されているSQLiteデータベースを手動でパーシングする方法を学ぶ
- アンチフォレンジックを検出し、プライベートブラウジングセッションを見つける
- オートコンプリートデータを解析する
トピック
ブラウザフォレンジック
- 歴史
- キャッシュ
- 検索
- ダウンロード
- ブラウザタイムスタンプの理解
- Internet Explorer
- IEフォレンジックにおけるファイルの場所
- ファイルの履歴:Index.datとWebCache.dat
- キャッシュリカバリとタイムスタンプ
- Microsoft ユニバーサルアプリケーションアーティファクト
- ダウンロード履歴
- Windows Vaultにおける認証情報の保管場所
- IE タブリカバリ分析
- タブ、履歴、お気に入り、パスワードを含むクロスデバイスの同期
- Edge
- 歴史、キャッシュ、Cookies、ダウンロード履歴、セッションリカバリ
- Spartan.ebd
- リーディングリスト、WebNotes、トップサイト、SweptTabs
- Firefox
- Firefoxアーティファクト
- MorkフォーマットとSQLite ファイル Firefox Quantumアップデート
- ダウンロード履歴
- Firefox Cache2検証
- 訪問タイプデータの詳細
- Form履歴
- セッションリカバリ
- Firefox拡張
- Chrome
- Chromeファイルの場所
- 履歴内容におけるURLと訪問テーブルの相関関係
- 履歴とページ遷移種別
- Chrome設定ファイル
- Webデータ、ショートカット、ネットワークアクションプリディクターデータベース
- Chromeタイムスタンプ
- Chace検証
- ダウンロード履歴
- Chromeセッションリカバリ
- Chromeプロファイル機能
- クロスデバイス同期の特定
- プライベートブラウジングとブラウザアーティファクトリカバリ
- IEとEdgeのInPrivateブラウジング
- ChromeとFirefoxのPrivateブラウジング
- Torブラウザの調査
- 選択、削除されたデータベースの特定
- SQLiteとESEデータベース、 ブラウザアーティファクトのカービング検証
- Super Cookies
- DOMとWebストレージオブジェクト
- Google AnalyticsとUniversal Cookies
- キャッシュされたWebページのリビルト
- ブラウザの祖先
- 使用するツール
- Nirsoft Tools
- SQLite Parsers
- ESE DatabaseView
- Hindsight
Windowsフォレンジックチャレンジ
フォレンジックスキルの向上は、実践が最も効果的です。1週間を通じて見に付けたスキルと知識をフル活用して、フォレンジックチャレンジに挑んでください。午前中に、一緒に作業をするチーム分けをします。配布された証拠を分析し、事件全体の流れを順に行っていきます。法廷で耐えうる形式で適切に証拠を保全し、分析し、報告を行います。コンピューターの利用履歴をプロファイリングし、法廷において提出するであろう重要な証拠をかき集めます。
この複雑なフォレンジックチャレンジは、Windows OSの最新バージョンの1つを利用し行います。使用する証拠はリアルです。今日のトレーニングにおいて、もっとも現実に近いものといえると思います。この事件を解明するためには、いままで学習してきたすべてのスキルと知識をフル活用する必要があります。
そして、最後に模擬裁判を行い、収集した証拠についてプレゼンテーションをして貰います。もっとも優れたプレゼンテーションと簡潔なライトアップ(Write-up)を行ったチームが、このチャレンジ…事件の勝者です!
演習
- Windows 7/10フォレンジックチャレンジ
トピック
デジタルフォレンジックケース
- 分析
- 新しい証拠類から分析開始
- 週を通して学んだ下記のエビデンス分析方法と決定的な証拠の発見
- メモリ検証、レジストリ、チャット、ブラウザ、リカバリしたファイル、その他
- 報告
- 発見された証拠の上位3つに焦点を当てて提出し、それらが証明する事実について議論
- 模擬裁判中に提出された証拠の1つの文書化
プレゼンテーション
- それぞれのチームには以下の内容を依頼します。
- エグゼクティブサマリ
- 小プレゼン
- 結論
- 最も優れた論拠とプレゼンテーションを行ったチームは投票で選び表彰されます。