Udemy Business

Teach on Udemy

Turn what you know into an opportunity and reach millions around the world.

Learn More

Your cart is empty.

Keep shopping

【サイバーセキュリティハンズオン】デジタルフォレンジック技術入門（Windows解析編）

Name: 【サイバーセキュリティ ハンズオン】デジタルフォレンジック技術入門（Windows解析編）
Rating: 3.7 (618 reviews)

サイバー犯罪の証拠データを収集・解析し、真相を解明することをデジタルフォレンジックと呼びます。本コースでは、米国標準技術研究所NISTが公開しているCFReDSの参照データを用いて、フリーツールによる解析手法を学習します。

Created by佐藤直 Naoshi Sato

Last updated 11/2023

Japanese

What you'll learn

デジタルフォレンジック技術の習得
WindowsPCにおけるハッキング事件のデジタルフォレンジック技術の習得
WindowsPCにおける情報漏えいインシデントのデジタルフォレンジック技術の習得
デジタルフォレンジックに用いるツールの操作方法の習得
ハッキング事件に利用されたコンピュータのＯＳ／所有者／利用者を特定する技術の習得
容疑者のアカウントを特定する技術の習得
ログイン履歴、アプリケーションのインストール履歴、メール履歴を調査する技術の習得
PCに接続された外部記憶装置の特定、USBメモリの利用履歴、USBメモリへのファイル複写履歴の調査手法の習得
ファイル名変更履歴、電子記憶媒体へのファイル複写履歴の調査方法の取得
情報漏えい事件に関して、ファイルのタイムスタンプ、印刷履歴、Web閲覧履歴の調査手法の習得
削除されたファイルを復元する手法の習得
アンチフォレンジック行為の特定
セキュリティインシデントのタイムライン作成

Course content

7 sections • 118 lectures • 9h 15m total length

イントロダクション11:15

演習環境7:19
https://www.vmware.com/jp/products/workstation-player/workstation-player-evaluation.html

https://digital-forensics.sans.org/community/downloads

https://docs.vmware.com/jp/VMware-Tools/10.3.0/com.vmware.vsphere.vmwaretools.doc/GUID-08BB9465-D40A-4E16-9E15-8C016CC8166F.html

# tar -zxvf VMwareTools- <version>.tar.gz

# cd vmware-tools-distrib

# ./vmware-install.pl

https://qiita.com/7of9/items/7facd5aa07497b53a2ec

解析の概要5:06
https://cfreds-archive.nist.gov/Hacking_Case.html
イメージファイルと解答書のダウンロード7:29
https://cfreds-archive.nist.gov/Hacking_Case.html

for i in {1..8} ; do cat SCHARDT$i.htm >> SCHARDT.img ; done；

https://cfreds-archive.nist.gov/Hacking_Case.html

https://www.exterro.com/ftk-imager

http://sectanlab.sakura.ne.jp/report/Manual_FTKimager.pdf
Q1　イメージファイルの確認1:43
md5sum SCHARDT.img
Q2　OSの特定10:37
https://github.com/keydet89/RegRipper3.0

https://github.com/keydet89/RegRipper3.0/tree/master/plugins

rip.exe

rip.pl

rip -l >> pluginlist.txt

nano -l /usr/share/regripper/rip.pl

my $plugindir = File::Spec->catfile($scriptdir, "plugins");

http://network-forensics.blogspot.com/2010/01/nist-forensic-challenge_04.html

rip -r ＜softwareハイブのパス＞ -p winver
Q3　OSのインストール日の特定1:09
rip -r ＜softwareハイブのパス＞ -p winver
Q4　タイムゾーンの調査1:39
rip -r ＜systemハイブのパス＞ -p timezone
Q5　所有者情報の調査1:38
rip -r ＜softwareハイブのパス＞ -p winnt_cv
https://github.com/warewolf/regripper/blob/master/plugins/winnt_cv.pl
Q6　コンピュータ名の調査1:09
rip -r ＜systemハイブのパス＞ -p compname
Q7　ホスト名の調査1:20
rip -r ＜systemハイブのパス＞ -p compname
Q8　最後のシャットダウン時刻の調査1:32
rip -r ＜systemハイブのパス＞ -p shutdown
Q9　PC登録アカウントの調査2:23
rip -r ＜SAMハイブのパス＞ -p samparse

rip.pl -r ＜SAMハイブのパス＞ -p samparse | grep Username
Q10　PC利用状況の調査1:40
rip.pl -r ＜SAMハイブのパス＞ -p samparse | grep -i -e username -e login
Q11　最後にログインしたユーザの調査1:11
rip.pl -r ＜SAMハイブのパス＞ -p samparse | grep -i -e username -e login
Q12　アカウント登録者の調査4:52
mount --help

mkdir files

mount -ro loop,offset=32256 SCHARDT.img files/

cd files

ls

grep –ri schardt
Q13　ネットワークインタフェースカードの調査1:35
rip.pl -r ＜softwareハイブのパス＞ -p networkcards
Q14　IPアドレスとMACアドレスの調査2:51
cat irunin.ini | more
Q15　インターフェースカード製造メーカの調査3:08
https://www.wireshark.org/tools/oui-lookup.html
Q16　ハッキングプログラムの調査3:46
Q17　SMTPメールアドレスの調査1:38
grep –ir SMTPusername
Q18　NNTP（news server）設定の調査1:37
grep –ir newsserver
Q19　NNTP（news server）関連プログラムの調査2:23
grep -ir newsserver

https://www.forteinc.com/agent/
Q20　ニュースグループの調査4:50
find -name “*.dbx” > ~/news.txt

find --help

cat ne*
Q21　チャット設定の調査2:00
cat mirc.ini
Q22　チャットログファイルの調査1:32
ls
Q23　パケット盗聴ファイルの調査2:14
ls

file interception
Q24　盗聴された通信端末の調査3:38
wireshark
Q25　アクセスしたWebサイトの調査3:08
https://
Q26　Webベースメールアドレスの調査5:23
http://www.kt.rim.or.jp/~kbk/regex/regex.html#WORDCHAR

grep -ErohI "\w+([._-]\w)*@\w+([._-]\w)*\.\w{2,4}" * > mail.txt
Q27　Webベースメールの保存先の調査1:45
grep -ir mrevilrulez@yahoo.com
Q28　ゴミ箱に残っている実行ファイルの調査1:42
Q29　ゴミ箱に残っている実行ファイルの削除の調査1:45
Q30　実際に削除されたファイルの調査3:49
apt-get install rifiuti
rifiuti --help
rifiuti INFO2
Q31　コンピュータウィルスの調査2:03
clamscan -ir
解析結果のまとめ2:19

解析の概要12:39
https://cfreds-archive.nist.gov/data_leakage_case/data-leakage-case.html

https://digitalcorpora.org/corpora/files
イメージファイルと解答書のダウンロード3:16
https://cfreds-archive.nist.gov/data_leakage_case/data-leakage-case.html

cat cfreds_2015_data_leakage_pc.7z* > cfreds_2015_data_leakage_pc.7z

p7zip --help

https://cfreds-archive.nist.gov/data_leakage_case/data-leakage-case.html
R1　イメージファイルのハッシュ値の算出5:30
p7zip -d ＜7zipで圧縮されたイメージファイル>

p7zip -d cfreds_2015_data_leakage_pc.7z

md5sum cfreds_2015_data_leakage_pc.dd

sha1sum cfreds_2015_data_leakage_pc.dd

p7zip -d cfreds_2015_data_leakage_rm#2.7z

md5sum cfreds_2015_data_leakage_rm#2.dd

sha1sum cfreds_2015_data_leakage_rm#2.dd

p7zip -d cfreds_2015_data_leakage_rm#3_type2.7z

md5sum cfreds_2015_data_leakage_rm#3_type2.dd

sha1sum cfreds_2015_data_leakage_rm#3_type2.dd
R2　パーティションの調査5:32
mmls cfreds_2015_data_leakage_pc.dd

mount -ro loop,offset=1048576 cfreds_2015_data_leakage_pc.dd mnt/part1/

# umount <マウントディレクトリ>

mount -ro loop,offset=105906176 cfreds_2015_data_leakage_pc.dd mnt/part2/
R3　OS情報の調査7:20
rip.pl -r SOFTWARE -p winnt_cv

https://accessdata-registry-viewer.software.informer.com/download/#downloading
R4　タイムゾーンの調査1:26
rip.pl -r SYSTEM -p timezone
R5　コンピュータ名の調査1:05
rip.pl -r SYSTEM -p compname
R6　PC登録アカウント情報の詳細調査4:50
https://kaworu.jpn.org/security/samdump2

rip.pl -r SAM -p samparse > accounts

cat accounts

samdump2

samdump2 SYSTEM SAM -o ＜出力ファイル＞

cat ＜出力ファイル＞
R7　最後のログインユーザの調査0:57
R8　最後のシャットダウン時刻の調査1:39
rip.pl -r SYSTEM -p shutdown
R9　ネットワークインタフェースの調査2:42
rip.pl -r SOFTWARE -p networkcards

rip.pl -r SYSTEM -p nic2
R10　インストールされたアプリケーションの調査5:46
rip.pl -r SOFTWARE -p installer
R11　アプリケーション実行履歴の調査17:11
http://www.nirsoft.net/utils/win_prefetch_view.html

rip -r NTUSER.DAT -p userassist_tln > userassisttlnout

rip -r system -p appcompatcache_tln > appcompatcachetlnout

rip -r usrclass.dat -p muicache
R12　システム起動／終了及びログオン／ログオフ記録の調査8:24
Get-WinEvent -Path <evtxのパス> | Export-Csv -Path <csvのパス> -Encoding Default

https://4thsight.xyz/10364

https://www.microsoft.com/en-us/download/details.aspx?id=21561

= (A2-25569)*60*60*24

= 25569+(B2-(60*60*13))/(60*60*24)
R13　Webブラウザの調査3:50
R14　Webブラウジング履歴データのディレクトリ／ファイルの調査4:45
R15　Webブラウジング履歴の調査8:06
https://www.foxtonforensics.com/browser-history-viewer/

https://www.naporitansushi.com/normcap/
R16　Webブラウジングにおける検索キーワードの調査9:23
MyLastSearch.exe /loadfrom “IE History Folder名”“IE Cache Folder名”
“Mozilla History Folder名”“Mozilla Cache Folder名” “Opera Cache
　Folder名”“Chrome Cache Folder名”
R17　Windows Explorerで検索したキーワードの調査3:25
wordwheelquery
R18　メールソフトの調査2:23
https://support.microsoft.com/ja-jp/help/870929/how-to-determine-outlook-version-information
R19　メール保存場所の調査2:45
R20　メールアカウント名の調査0:50
R21　メールの調査7:12
https://www.nucleustechnologies.com/ost-viewer.html
R22　PCに接続された外部記憶装置の調査5:19
rip.pl -r SYSTEM -p usbstor

rip.pl -r SYSTEM -p usbdevices
R23　ファイルの名前変更履歴の調査8:02
https://www.kazamiya.net/usn_analytics

usn_analytics.exe

usn_analytics -o output in $J.copy0
R24　ネットワークドライブの調査2:10
rip -r NTUSER.DAT -p runmru

rip -r NTUSER.DAT -p mndmru
R25　USBメモリのディレクリへのアクセス履歴調査16:19
rip -r UsrClass.dat -p shellbags > shellbagout

https://ericzimmerman.github.io/

https://4discovery.com/our-tools/link-parser/
R26　USBメモリのファイルへのアクセス履歴調査2:19
R27　ネットワークドライブのディレクトリへのアクセス履歴調査7:28
R28　ネットワークドライブのファイルへのアクセス履歴調査3:17
R29　クラウドサービスの履歴の調査4:51
rip.pl -r SOFTWARE -p installer
R30　Google Drive から削除されたファイルの調査8:35
R31　Google Driveアカウントの調査2:08
R32　CD-R焼き付け形式の調査16:42
https://www.vector.co.jp/soft/win95/util/se079072.html
R33　CD-R焼き付け時刻の調査3:41
https://www.ecma-international.org/publications/files/ECMA-ST/Ecma-167.pdf

https://superuser.com/questions/559031/how-to-find-out-when-a-disc-dvd-has-been-written-burned

dd if=<UDFイメージファイル> bs=1 skip=65912 count=12 | hexdump -C
R34　PCからCD-Rにコピーされたファイルの調査5:24
R35　CD-Rで開かれたファイルの調査3:31
R36　退職願文書のタイムスタンプの調査8:41
https://www.kazamiya.net/fte
R37　退職願文書の印刷の調査2:34
R38　サムネイルの場所の調査2:06
https://news.mynavi.jp/article/windows-147/
R39　機密ファイルのサムネイルの表示5:06
https://thumbcacheviewer.github.io/
R40　付箋の場所の調査1:18
R41　付箋の表示2:34
https://fileviewerplus.com/download
R42　Windows Search and Indexingの調査4:56
https://itojisan.xyz/trouble/13694/
R43　Windows Search databaseの内容の調査5:48
http://www.nirsoft.net/utils/ese_database_view.html
R44　Windows Search databaseのInternet Explorer利用履歴の調査14:12
esedbexport -help

esedbexport < Windows.edbのパス> 　＞　ログ出力ファイル（例．out）

ls

https://www.nirsoft.net/utils/ese_database_view.html
R45　Windows Search databaseのメール通信履歴の調査5:33
R46　Windows Search databaseにおけるディスクトップのディレクトリ・ファイル履歴の調査6:24
R47　ボリュームシャドーコピーの調査2:14
R48　Google Driveに関するボリュームシャドーコピーの調査12:51
mmls cfreds_2015_data_leakage_pc.dd

vshadowinfo -h

vshadowinfo -o 105906176 cfreds_2015_data_leakage_pc.dd

vshadowmount -h

mkdir /mnt/vssvolume

vshadowmount -o 105906176 cfreds_2015_data_leakage_pc.dd /mnt/vssvolume/

ls -l /mnt/vssvolume

mkdir /mnt/vss1logical

mount -o ro /mnt/vssvolume/vss1 /mnt/vss1logical/

cd /mnt/vss1logical

ls -l

cd /mnt/vss1logical/Users/informant/AppData/Local/Google/Drive/user_default

ls -l

http://bitforensics.blogspot.com/2012/12/google-drive-artifacts-explained.html

stat snapshot.db

file snapshot.db

stat sync_config.db

file sync_config.db

stat sync_log.log

file sync_log.log

https://www.itseclab.jp/security_info/digital_forensic/digital_forensic_implementation/memory_forensic_construction/
R49　Google Driveから削除されたファイルとVSCレコードの調査6:52
https://sqlitebrowser.org/

http://www.sqlite.org/fileformat2.html
R50　ボリュームシャドーコピーにおけるメールデータ調査1:49
http://port139.hatenablog.com/entries/2008/02/17

https://learn.microsoft.com/ja-jp/windows/win32/vss/excluding-files-from-shadow-copies
R51　ゴミ箱の中身の調査4:12
https://social.msdn.microsoft.com/Forums/windows/ja-JP/1717f21d-4007-4e1b-9b97-aa81b9dc1902/windows7-2391?forum=windowsgeneraldevelopmentissuesja
R52　PCでのアンチフォレンジック行為の調査10:47
https://www.a-d.co.jp/support/g/data_erase/7.html

https://tech.nikkeibp.co.jp/it/article/COLUMN/20090414/328341/?P=1

http://www.ccleaner.com/
R53　USBメモリの削除ファイルの復元6:44
R54　USBメモリへのアンチフォレンジック行為の調査1:44
R55　PCからUSBメモリにコピーされたファイルの調査2:08
R56　CD-Rのファイルの復元10:31
https://getdataforensics.com/product/forensic-explorer-fex/download/

file:///C:/Users/saton/Downloads/Forensic%20Explorer%20v5%20User%20Guide.en.pdf
R57　CD-Rへのアンチフォレンジック行為の調査1:29
R58　情報漏えい過程のタイムラインの作成18:11
https://github.com/log2timeline/plaso/releases

https://www.forensics-matters.com/2020/10/17/forensics-timeline-using-plaso-for-windows/

https://github.com/log2timeline/plaso/releases?page=2

log2timeline -h

log2timeline --parsers filestat <出力する中間ファイル名> <入力するイメージファイル名>

psort -h

psort –z <タイムゾーン> -o <出力形式> -w <出力するファイル名> <入力する中間ファイル名> “抽出条件：例．期間指定”
R59　実施されたデータ漏えい方法のまとめ4:56
R60　分析結果の可視化1:12
S1　会社業務文書の作成・ダウンロードの確認10:18
S2　メールの確認（追加）2:02
S3　ファイルが開かれたことの確認2:28
S4 Google Drive へのファイルアップロードの確認6:44
S5　PCへのファイルコピーの確認1:56
S6　ネットワークドライブ接続の確認2:05
S7　ネットワークドライブからPCにコピーされたファイルの確認2:10
S8　PCのディスクトップから削除されたディレクトリ・ファイルの確認2:28
S9　CD-Rのフォルダ名変更の確認2:15
S10　CD-Rへ無意味なファイルをコピーしたことの確認2:25
S11　Windows Explorerを用いたCD-Rディレクトリ・ファイルの閲覧の確認2:49
S12　メール削除の確認3:33
S13　ゴミ箱の内容の削除の確認4:44
S14　アプリケーションの削除の確認3:53
S15　ディスクトップから削除したショートカットの確認2:49
S16　退職願文書を開いたことの確認4:30
解析結果のまとめ4:17

Windows10に関する参考情報12:07
https://atmarkit.itmedia.co.jp/ait/articles/1610/12/news001_2.html
https://maruton-memorandum.blogspot.com/2013/08/windowsftk-imagervmvmdk.html
https://qiita.com/sumeshi/items/8e2791a326d8dd505f74
https://superuser.com/questions/590968/quickest-way-to-merge-all-snapshots-in-virtualbox
https://ubiqlog.com/archives/11282
https://qiita.com/sasayabaku/items/aca8f94faadae5bd32c5
https://office54.net/iot/office365/outlook-mail-strage
https://www.nucleustechnologies.com/pst-viewer.html

Requirements

Windows PCの基礎知識がある
WindowsおよびLinuxをコマンドラインで操作した経験がある
英文情報（Webサイト・マニュアル）を理解できる
講座内容に記載した演習環境を構築し、コース内で紹介した手法を実践しながら受講するのが、技術習得の近道です
各英文に対して解説を行いますが、簡単な英文技術文書を読解できると理解度が高まります

Description

「デジタルフォレンジック」とは、サイバー犯罪の証拠データを収集・解析し、真相を解明することです。

従来、デジタルフォレンジックは、機密情報の漏えい事件や不正アクセス事件等、IT犯罪における捜査に限定された利用が多く、特定の職業・業種に従事する人々に必要とされた技術でした。

しかし、IT技術が一般化し、企業内・組織内でデジタルデータに触れる業務が不可欠になった現在では、デジタルフォレンジック技術による調査の機会も増え、注目されている技能の一つです。また、セキュリティエンジニアを志す方々にも必須の知識・技能となりつつあります。

本コースでは、米国標準技術研究所NISTが公開しているコンピュータフォレンジック参照データセットCFReDS を対象に、「ハッキング事件」および「情報漏えい事件」に用いられたWindowsPC（イメージファイル）をフリーツールで解析します。

本コースを受講することで、WindowsPCのハッキングおよび情報漏えいインシデントのデジタルフォレンジックができるようになります。また、関連するツールの操作法も習得できます。

このコースは、

１）証拠取得のための課題出題

２）証拠取得の方法を実施

３）結果の解説

の順で進んでいきます。

是非、ご自身の端末にも環境を構築し、出題に挑戦しながら進めていきましょう。

＜実施する演習＞

ハッキング事件のフォレンジック

事件の背景を理解し対象PCのイメージファイルを確認した後に、以下の演習を行います。

OSの特定
コンピュータの所有者の調査
ログイン履歴の調査
容疑者のアカウントの特定
ネットワークインタフェースの調査
ハッキング用ツール／マルウェアの調査
チャットの調査
盗聴された通信端末・通信内容の調査

情報漏えい事件のフォレンジック

事件の背景を理解し対象PCのイメージファイルを確認した後に、以下の演習を行います。

コンピュータ利用履歴の調査
タイムゾーンの調整
アプリケーション実行履歴の調査
Web閲覧サイトの調査
Web検索キーワードの調査
メールの調査
PCに接続された外部記憶装置（USB，CD-R）の調査
ネットワークドライブ利用履歴の調査
クラウドサービス利用履歴の調査
ファイル複写・削除履歴の調査
ファイルのタイムスタンプの調査
サムネイル画像の調査
付箋の調査
コンピュータ内検索履歴の調査
シャドーコピー・ジャーナルファイルの調査
ゴミ箱に残っている／削除されたファイルの調査
削除ファイルの復元
アンチフォレンジック（証拠隠滅）行為の調査
機密情報の入手・漏えい経路の調査
情報漏えい過程のタイムラインの作成・可視化

＜推奨される演習環境＞

使用するコンピュータ

ホストPC：Windows10（MSOffice搭載）
仮想マシン：VMware Workstation Player
ゲストPC：SIFTLinux

ネットワーク環境

インターネット接続

なお、本コースを受講するにあたって、受講生の皆さんには留意していただきたい点がございます。受講前に必ず、レクチャー１を視聴いただき、ご理解いただいた上での受講をお願いいたします。

それでは、本編でお会いしましょう！

Who this course is for:

組織のサイバーセキュリティ担当者
サイバー犯罪捜査やサイバー攻撃対策の分野への就職希望者
デジタルフォレンジックに興味のある方

【サイバーセキュリティ ハンズオン】デジタルフォレンジック技術入門（Windows解析編）

What you'll learn

Explore related topics

Course content

イントロダクション1 lecture • 11min

演習環境1 lecture • 7min

デジタルフォレンジックの概要1 lecture • 9min

ハッキング事件の解析34 lectures • 1hr 37min

情報漏えい事件の解析79 lectures • 6hr 57min

むすび1 lecture • 3min

＊付録＊1 lecture • 12min

Requirements

Description

Who this course is for:

【サイバーセキュリティハンズオン】デジタルフォレンジック技術入門（Windows解析編）