メモリフォレンジック
メモリ情報からプロセスや通信履歴を迅速解析
揮発性データであるメモリ情報を保全し、解析することで、実行プロセスや通信履歴を迅速に把握することが可能です。また、近年、HDD に痕跡を残さないファイルレスマルウェアの増加やファストフォレンジックの必要性から、メモリフォレンジックの技術が注目されています。メモリ情報の保全から解析まで、実践的な演習を通して、メモリフォレンジックについて学習します。
受講対象者・前提知識
受講対象者
・デジタルフォレンジック担当者
・セキュリティ担当者、CISRT / SOC 担当者
・システム管理者、セキュリティ担当者
・セキュリティ担当者、CISRT / SOC 担当者
・システム管理者、セキュリティ担当者
前提知識
・ネットワークに関する基礎知識
・OS(Windows / Linux)に関する基礎知識
・デジタルフォレンジックの基礎知識
・OS(Windows / Linux)に関する基礎知識
・デジタルフォレンジックの基礎知識
研修のゴール
- 1
-
メモリ情報の保全方法および手順を理解し、 適切にメモリ保全ができるようになる。
- 2
-
メモリ解析の解析ツールの使い方を理解し、 適切に使用できるようになる。
- 3
-
メモリ情報から確認できた痕跡情報から、 適切に情報の解析ができるようになる。
実施アジェンダ
1日目
1 . デジタルフォレンジック基礎
2 . システムの全体像
1 ) コンピュータシステム概要
2 ) メモリの基礎、データ構造
1 ) メモリ保全の考え方
2 ) メモリダンプ/保全基礎
3 ) メモリイメージの変換
4.メモリ解析ツール
1 ) Volatility Framework
2 ) その他ソフトウェア、ツール群
5.メモリ解析基礎
1 ) アーティファクト解析
2 ) メモリ上のデータ解析/データカービング
2日目
6 . Windows システムのメモリ解析
1 ) ネットワーク
2 ) Windows オブジェクト
3 ) プロセス、ハンドル、トークン
4 ) プロセスメモリ
5 ) Windows マルウェア解析
6 ) イベントログ
7 ) レジストリ情報
8 ) Windows サービス
7 . パスワード解析/暗号化解析
8 . イベント再構成
9 . タイムライン作成
10 . 総合演習
