Windowsフォレンジックコースの1日目は、モバイル、タブレット、クラウドストレージ、最新のWindows OSなど今日の社内環境に接続しているさまざまなデバイスに関する課題を議論していきます。また、SSD（Solid State Devices）といった最新のハードドライブがフォレンジックの証拠保全プロセスに及ぼす影響、これらの新しいテクノロジーの出現に対応するためにどうすればよいかを解説していきます。

ハードドライブ容量は増加傾向にあり、フォレンジック現場では適切に扱うことが困難になってきています。今日では、効率的、かつ、法的訴訟に耐えうる手順（forensically sound）でデータを保全することは、すべてのフォレンジック調査者にとって重要な事項となっています。大半の基礎レベルにあるアナリストたちは、書き込み防止装置を使用して簡単にハードドライブのイメージを取得しています。本コースでは、証拠保全プロセスをよりスピーディーに効率化する方法として、抽出する対象をトリアージして取得する新しいテクニックを紹介します。現在の保全プロセスでは、何時間も、時には何日間も費やしています。メモリイメージ、NTFS MFT、Windowsログ、レジストリ、重要なファイルを短時間で取得する方法をデモンストレーションします。

また、商用ツールとオープンソースツールの両方を使用して、ファイルカービングとストリームベースの証拠抽出方法を解説します。フォレンジック現場で問われる主要な質問に答えるため、特定のデータに絞って調査する方法を学習することで、ベテランの捜査官になるスキル・知識を養成します。

演習

• オリエンテーションとWindows SIFT Workstationをインストールする
• Wiebetech Ultradock Write Blockerを使用したハードドライブイメージの証拠保全を行う
• トリアージを意識した高度なデータ保全とイメージ取得を行う
• 保全したディスクイメージ、証拠のマウントを行う
• 空き領域からのOfficeファイルカービング、プリフェッチのシグネチャを追加しプリフェッチファイルをカービングする
• ページングファイル、メモリイメージ、未割り当て領域（unallocated space）から主要なユーザー情報を復元する
• チャットセッション、Webメール、ソーシャルネットワーク、プライベートブラウジングを復元する

トピック

Windows オペレーティングシステムコンポーネント

• Windowsバージョン間での違い
• Windows 7とそれ以上
• Microsoft Server シリーズ

フォレンジックの原則

• 分析対象
• キーとなる質問
• スコープの決定

ライブレスポンスとトリアージ技術

• RAMの確保
• レジストリの展開
• カスタムコンテンツイメージの作成
• トリアージをベースにしたフォレンジック
• Volatilityの順番
• トリアージを経由したカスタムコンテンツの展開

書込み防止と取得レビュー

高度な取得チャレンジ

• 暗号化ドライブの検知
• SD メモリと標準HDD
• SSD取得時の 懸念事項

Windowsイメージのマウントと検証

NTFSファイルシステムの概要

ドキュメントとファイルのメタデータ

ファイルカービング

• データカービングの原理
• メタデータファイルシステムの消失
• ファイルカービングツール

独自カービングシグネチャ

メモリ、ページファイル、未割り当てスペースの分析

• アーティファクトのリカバリと検証
• Facebook Live、MSN Messenger、 Yahoo、AIM、GoogleTalk Chat
• IE8-11, Edge, Firefox, Chrome InPrivate/リカバリURLs
• Yahoo, Hotmail, G-Mail, Webmail, E-Mail

2日目はWindowsレジストリフォレンジックについて学習します。Windowsレジストリから、大半のフォレンジック調査において、システムおよびユーザーに関する重要な情報が見つかります。どのようにレジストリからユーザープロファイルに関する情報、システム情報を抽出して分析するかを学んでいきます。調査対象のユーザーが行ったキーワード検索、実行したプログラム、開いたり保存したりしたファイル、閲覧したフォルダ、使用した外部記憶媒体をどう証明するか、その方法を学びます。

本章の全体を通して、実際に手を動かして証拠を探し分析するスキルを身に付けていきます。

演習

• レジストリに含まれる証拠を解析して、コンピューターシステムをプロファイリングする
• レジストリに含まれる証拠を解析して、ユーザーの行動をプロファイリングする
• レジストリに含まれるユーザーアシスト（userassist key）を解析して、ユーザーが直近でどのプログラムを使用したのか特定する
• レジストリに含まれるrecentdocsキーを解析して、最近開いたファイルが何かを特定する
• 最近開いたOffice 365ファイルを解析して、ファイルが開かれた最初と最後の時間を特定する
• レジストリに含まれるopen/save keyを解析して、ユーザーが最近開いたフォルダを調べる

トピック

詳細レジストリフォレンジック

• レジストリコア
  • ハイブ、キー、値
  • レジストリの最終書き込み時刻
  • MRUリスト
  • 削除されたレジストリキーのリカバリ
  • 汚染されたレジストリの特定と紛失したデータのリカバリ
  • 複数ハイブの検索とタイムライン化
• ユーザーとグループのプロファイリング
  • ユーザー名とそこに紐づいたSIDを発見する
  • 最終ログイン
  • 最終失敗ログイン
  • ログイン回数
  • パスワードポリシー
• 重要なシステム情報
  • 現コントロールセットの特定
  • システム名とそのバージョン
  • タイムゾーン
  • ローカルIPアドレス情報
  • 無線、有線、3Gネットワーク
  • コネクテッドネットワーク監査と機器の位置情報
  • ネットワーク共有とオフラインキャッシュ
  • 最終シャットダウン時間
  • レジストリベースの持続的マルウェア
• ユーザのフォレンジックデータ
  • ファイルダウンロードの証拠
  • OfficeとOffice 365のファイル履歴分析
  • Windows 7、Windows 8/8.1、Windows 10 での検索履歴
  • パスとディレクトリ
  • 最近使ったドキュメント
  • 開く＞保存・実行ダイアログボックスによる証拠
  • ユーザー補助を経由したアプリケーション実行履歴、シムキャッシュ、最近使ったアプリケーション、AmCache、BAM/DAM
• 使用するツール
  • レジストリエクスプローラー
  • TZWork's CAFAE and YARU (Yet Another Registry Utility)

ファイルを最初に閲覧した日時、最後に閲覧した日時を特定するスキルは、分析スキルにおいて最も重要です。SHELL ITEMSの調査を通じて、ショートカット（LNKファイル）、ジャンプリスト、シェルバッグデータベースを調べれば、簡単にいつ、どんなファイルを開いたのかピンポイントで特定することが可能です。SHELL ITEMSを調べることで得られる知識は、内部またはハッカーが知的財産を盗難するといったユーザアクティビティをトラッキングするために重要です。

外部記憶媒体の調査方法は、フォレンジックの主要トピックになることが多いものです。ここでは、Windows 7～10といった各々の環境上で動作するUSBデバイスについて、どのように調査するか解説していきます。外部記憶デバイスが最初および最後に接続された日時、ベンダー／製造元／モデル、デバイス固有のシリアル番号まで特定する方法を学習していきます。

演習

• レジストリとファイルシステムを解析して、接続したUSBやBYODデバイスが何かを追跡する
• USBデバイスを接続した最初と最後の日時を特定する
• 最後にUSBデバイスを取り外した日時を特定する
• ショートカット（LNKファイル）を解析して、ファイルの初回／最終閲覧日時を特定する
• レジストリキーのシェルバッグ（Shellbag）を解析して、いつフォルダにアクセスしたのか特定する
• ジャンプリスト（Jumplist）を解析して、特定のプログラムでどのファイルにいつアクセスしたかを特定する
• Bitlocker-To-Goによって暗号化されているUSBデバイスをアンロックする

トピック

Shell Item Forensics

• リンク・ショートカット:ファイル開封の証跡
• Windows7/Windows10ジャンプリスト:ファイル開封とプログラム実行の証跡
• Shellバグ分析　フォルダアクセスの証跡

USBとBYOD端末のフォレンジック

• 製造元/モデル/バージョン
• シリアル番号
• ラストドライブレター
• マウントポイント2　ユーザ毎のラストドライブ（共有含む）
• ボリューム名とシリアル番号
• USB機器を使用したユーザー名
• 最初にUSB機器を接続した時刻
• 最後にUSB機器を接続した時刻
• 最後にUSB機器を取り外した時刻
• 大規模なBYOD機器の監査
• Bitlocker -可搬可能なUSB機器の暗号化

調査や何らかの証明事案によっては、メールを分析して証拠を抽出することが重要になる場合があります。メールを復元することで、調査で見つかった情報を綺麗につなぎ合わせることが可能となります。また、内部不正の証拠として非常に有力なものとなるのが多いのも特徴です。メールはユーザーが利用するワークステーションのローカル、メールサーバー、プライベートクラウド、複数のウェブメールに保存されています。

Windowsプリフェッチやappcompatcacheのデータなどの追加のアーティファクトは、実行されたことを証明するために最も重要なものです。また、最新のデジタルアーティファクトの1つであるSRUM(System Resource Usage Monitor)は、カウンターフォレンジックプログラムが行われた後においても重要なユーザアクションを特定するのに役立ちます。

4日目の最後は、Windowsログ分析を行います。その他の分析と比べて、より多くのことが分かるのが理解できるでしょう。ログのありかと内容を理解することは、あらゆる調査において非常に有用です。多くの場合、Windowsログをざっと確認します。なぜなら確認すること自体は、ツールや特有の知識が必要ないからです。今まで長い年月を掛けて培われてきた不可欠な知識とスキルを身に付けていきます。

演習

• 大量のデータから調査対象のメールと添付ファイルを探し出すための、フォレンジックツールの最善の組み合わせ方法を学習する
• メッセージヘッダーとメールの信頼性をSPFとDKIMを用いて分析する
• 拡張MAPIヘッダーをどのように調査で活用するかを学ぶ
• ExchangeやOffice365から効率よく証拠を収集する
• 最新のOffice365統合監査ログを学ぶ
• ウェブメールやモバイルメールの残骸を探索する
• メールのフィルタリング、重複除外、メッセージの類似性といった主要概念を理解する
• フォレンジックツールを使って、メールアーカイブから削除されたオブジェクトを復元する
• 代表的なメールフォレンジックツール、eディスカバリツールの経験値を上げる
• データの可視化、タイムライン解析を行う
• メールアーカイブにあるドキュメントメタデータを解析する
• 複数バージョンのリサイクルビン（Recycle Bin）を解析する
• Windowsプリフェッチファイルを解析し、アプリケーションの実行時刻を特定する
• SRUM（System Resource Usage Monitor）を利用しWindowsフォレンジックでは今まで回答されなかった質問に対応する
• イベントログをマージして、高度なフィルタリングを行う
• アカウントの使用履歴をプロファイリングし、ログオンセッション期間を特定する
• 監査ファイルおよびフォルダへのアクセス
• 時刻改ざんの証拠を見つける
• その他のレジストリ分析　BYODデバイスの監査
• 無線ネットワーク関連の履歴を分析し、デバイスの物理的位置を特定する

トピック

メールフォレンジック

• 通信内容の証拠
• 電子メールの仕組み
• メールヘッダーの検証
• メールの信頼性
• 送信者位置情報の特定
• 拡張MAPIヘッダ
• ホストベースメールフォレンジック
• Exchangeにおけるリカバリー可能なアイテム
• Exchangeにおける証拠取得とメールのエクスポート
• Exchangeのコンプライアンス検索とeDiscovery
• Office 365の統一監査ログ
• 削除済みメールのリカバリ
• Webおよびクラウドベースのメール
• モバイルメールの残骸

Windows OSアーティファクトのフォレンジック

• Windowsサーチインデックスフォレンジック
• ESEデータベースのリカバリと改修
• Thumbs.sbとThumbscacheファイル
• Windowsプリフェッチ分析（XP、Windows 7～Windows 10）
• Windows Recycle Bin分析（XP、Windows 7～Windows 10）
• Windows 10タイムラインデータベース
• System Resource Usage Monitor（SRUM）
  • 接続ネットワーク、その期間と帯域の使い方
  • アプリケーションの実行とアプリケーション毎のデータの送受信
  • アプリケーションプッシュ通知
  • 電源の使用方法

Windowsイベントログ分析

• フォレンジック官に影響するエベントログ
• EVTXとECTログファイル
  • RDP、ブルートパスワード攻撃などのアカウント（不良なものを含む）使用状況のトラック
  • ファイルとフォルダアクセスの監査と分析
  • システムタイムの操作の証明
  • BYOD端末と外部デバイスのトラック
  • イベントログからのデバイス位置情報の割出し

現在はWebの使用頻度が増しており、Webベースのアプリケーションやクラウドコンピューティングにシフトしつつあります。このような現状において、ブラウザーフォレンジックのスキルは不可欠なものになっています。5日目は、Internet Explorer、Firefox、Google Chrome、Edgeで残される証拠を総合的に見ていきます。合わせて、Webブラウザーの証拠を調査する上で必要になる、SQLiteやESEといったデータベースのパーシング方法も学習していきます。また、クッキー、閲覧履歴、ダウンロード履歴、インターネットキャッシュファイル、ブラウザー拡張、フォームデータといった主要なアーティファクトの調査方法も学びます。これらのファイルをどうやって見つけるかをデモンストレーションし、アーティファクトを解釈する上で犯しがちなミスについて解説します。その他に、セッションリストア情報、トラッキングクッキー、プライベートブラウジングで残るアーティファクトなどについても解説を加えていきます。

本章を通じて実際に手を動かして解析することで、Chrome、Firefox、Edge、Internet Explorer、Torにより作られた証拠を調査するスキルが身に付くでしょう。

演習

• ブラウザー履歴とキャッシュファイルにより被疑者の行動を追跡し、ローカル上で開いたファイルを特定する
• Extensible Storage Engine（ESE）データベースに含まれるアーティファクトを解析する
• 被疑者がダウンロードしたファイルが何かを調査する
• 被疑者が入力したURL、クリックしたURL、ブックマークしたURL、ブラウジング中にポップアップしただけのURLを特定する
• 以前のブラウザーセッションを復元するのに使用されるクラッシュリカバリファイルをパーシングする
• Google Analyticsのクッキーを活用して、ユーザーの行動をプロファイリングする
• FirefoxとChromeで利用されているSQLiteデータベースを手動でパーシングする方法を学ぶ
• アンチフォレンジックを検出し、プライベートブラウジングセッションを見つける
• オートコンプリートデータを解析する

トピック

ブラウザフォレンジック

• 歴史
• キャッシュ
• 検索
• ダウンロード
• ブラウザタイムスタンプの理解
• Internet Explorer
  • IEフォレンジックにおけるファイルの場所
  • ファイルの履歴：Index.datとWebCache.dat
  • キャッシュリカバリとタイムスタンプ
  • Microsoft ユニバーサルアプリケーションアーティファクト
  • ダウンロード履歴
  • Windows Vaultにおける認証情報の保管場所
  • IE タブリカバリ分析
  • タブ、履歴、お気に入り、パスワードを含むクロスデバイスの同期
• Edge
  • 歴史、キャッシュ、Cookies、ダウンロード履歴、セッションリカバリ
  • Spartan.ebd
  • リーディングリスト、WebNotes、トップサイト、SweptTabs
• Firefox
  • Firefoxアーティファクト
  • MorkフォーマットとSQLite ファイル Firefox Quantumアップデート
  • ダウンロード履歴
  • Firefox Cache2検証
  • 訪問タイプデータの詳細
  • Form履歴
  • セッションリカバリ
  • Firefox拡張
• Chrome
  • Chromeファイルの場所
  • 履歴内容におけるURLと訪問テーブルの相関関係
  • 履歴とページ遷移種別
  • Chrome設定ファイル
  • Webデータ、ショートカット、ネットワークアクションプリディクターデータベース
  • Chromeタイムスタンプ
  • Chace検証
  • ダウンロード履歴
  • Chromeセッションリカバリ
  • Chromeプロファイル機能
  • クロスデバイス同期の特定
• プライベートブラウジングとブラウザアーティファクトリカバリ
  • IEとEdgeのInPrivateブラウジング
  • ChromeとFirefoxのPrivateブラウジング
  • Torブラウザの調査
  • 選択、削除されたデータベースの特定
• SQLiteとESEデータベース、 ブラウザアーティファクトのカービング検証
  • Super Cookies
  • DOMとWebストレージオブジェクト
  • Google AnalyticsとUniversal Cookies
  • キャッシュされたWebページのリビルト
  • ブラウザの祖先
• 使用するツール
  • Nirsoft Tools
  • SQLite Parsers
  • ESE DatabaseView
  • Hindsight

フォレンジックスキルの向上は、実践が最も効果的です。1週間を通じて見に付けたスキルと知識をフル活用して、フォレンジックチャレンジに挑んでください。午前中に、一緒に作業をするチーム分けをします。配布された証拠を分析し、事件全体の流れを順に行っていきます。法廷で耐えうる形式で適切に証拠を保全し、分析し、報告を行います。コンピューターの利用履歴をプロファイリングし、法廷において提出するであろう重要な証拠をかき集めます。

この複雑なフォレンジックチャレンジは、Windows OSの最新バージョンの1つを利用し行います。使用する証拠はリアルです。今日のトレーニングにおいて、もっとも現実に近いものといえると思います。この事件を解明するためには、いままで学習してきたすべてのスキルと知識をフル活用する必要があります。

そして、最後に模擬裁判を行い、収集した証拠についてプレゼンテーションをして貰います。もっとも優れたプレゼンテーションと簡潔なライトアップ（Write-up）を行ったチームが、このチャレンジ…事件の勝者です！

演習

• Windows 7/10フォレンジックチャレンジ

トピック

デジタルフォレンジックケース

• 分析
  • 新しい証拠類から分析開始
  • 週を通して学んだ下記のエビデンス分析方法と決定的な証拠の発見
  • メモリ検証、レジストリ、チャット、ブラウザ、リカバリしたファイル、その他
• 報告
  • 発見された証拠の上位3つに焦点を当てて提出し、それらが証明する事実について議論
  • 模擬裁判中に提出された証拠の1つの文書化

プレゼンテーション

• それぞれのチームには以下の内容を依頼します。
  • エグゼクティブサマリ
  • 小プレゼン
  • 結論
• 最も優れた論拠とプレゼンテーションを行ったチームは投票で選び表彰されます。