皆さんの組織では、マルウェア感染したWindows PCが（組織内の）何処と通信したか？、を追跡できるログを取っていますでしょうか？

先日のプログラム実行履歴についてTwitterで呟いたところ「次のトピックはSysmonですねｗ」と Haruyama さんから突っ込みをいただいたので、Sysmon を利用したプログラムの通信履歴保存についてです（笑）

プログラムの実行履歴はWindowsの監査機能を利用する事でセキュリティログに記録する事ができますが、プログラムが何処と通信したかは記録されていません。

いわゆる標的型攻撃、APT攻撃と呼ばれる攻撃では、マルウェア感染した機器を踏み台として、組織内の広い範囲への侵入や情報の搾取が行われます。

この為、被害範囲が広がっているのかを確認するには、マルウェア感染した端末が、何処と通信を行っていたのか？が重要な手がかりになります。

プログラムが何処と通信したかがログに記録されていれば、被害範囲を特定する時間やコストを小さくする事が出来るはずです。（被害範囲を迅速に特定できれば、復旧にかかる時間を短くする事ができ、全体コストを抑えられます）

プログラムの通信履歴を残す方法は幾つか案があるかと思われますが、マイクロソフト社が提供しているSysmon を利用すると比較的簡単にイベントログに通信履歴を残す事ができます。

Sysmon v3.0
https://technet.microsoft.com/ja-jp/sysinternals/dn798348

Sysmon を利用すると、プロセスの実行履歴、ドライバのロード時にデジタル署名とハッシュ値を記録する、ネットワーク通信の記録などが可能になります。

プロセスの実行履歴、ファイル作成日時の変更、ドライバロードに関する記録なども残せますが、これら全てを記録していくとログが膨大になり、正直ノイズだらけになります。

 ノイズが多いログは、調査時に“時間とコスト増加”の原因になります。不要なログは取得しないのが一番です。断捨離が必要になりますので、Sysmonの設定ファイルを利用して、ネットワークの通信履歴以外は取得しないようにフィルタします。

まずは、Sysmonのインストールを行います。コマンドラインから操作する必要がありますが、以下のコマンドを実行します。

Sysmon.exe -i -n

ライセンスの確認ダイアログが表示されますので、確認してください。

インストール時に -n オプションを指定することで、ネットワークのログも取られるようになります。（後から設定ファイルでも変更できます）

現在の状況を確認するには、以下のコマンドを実行します。「Network connection: enabled」となっていることを確認できます。

>Sysmon.exe -c

Sysinternals Sysmon v3.00 - System activity monitor
Copyright (C) 2014-2015 Mark Russinovich and Thomas Garnier
Sysinternals - www.sysinternals.com

Current configuration:
- Service name: Sysmon
- Driver name: SysmonDrv
- HashingAlgorithms: SHA1
- Network connection: enabled
- Image loading: disabled

No rules installed

この状態でどの様なログが出力されるかは、イベントビューアで確認する事ができます。

イベントビューアを起動し、「アプリケーションとサービス ログ」を開きます。新たな項目として、Microsoft⇒Windows⇒Sysmon があるはずです。

次に、設定ファイルを作成します。例えば、ネットワークの履歴だけ取得する場合には以下のような設定ファイルを作成します。（Hostnameの部分はインストールするコンピュータのホスト名を記入しておきます）

<Sysmon schemaversion="2.0">
<HashAlgorithms>md5</HashAlgorithms>
<EventFiltering>
<ProcessCreate onmatch="include" />
<ProcessTerminate onmatch="include" />
<FileCreateTime onmatch="include" />
<ImageLoad onmatch="include" />
<CreateRemoteThread onmatch="include" />
<DriverLoad onmatch="include" />
<NetworkConnect onmatch="include">
<SourceHostname>Hostname</SourceHostname>
<DestinationHostname>Hostname</DestinationHostname>
</NetworkConnect>
</EventFiltering>
</Sysmon>

この設定ファイルを作成しておき、-c オプションの引数として指定します。（インデントがうまくいけてないのと、Webから貼り付けるとうまくいかないケースがあるかもしれません）

>Sysmon.exe -c sysmon_conf.xml

Sysinternals Sysmon v3.00 - System activity monitor
Copyright (C) 2014-2015 Mark Russinovich and Thomas Garnier
Sysinternals - www.sysinternals.com

Loading configuration file with schema version 2.00
Configuration file successfully applied
Configuration updated.

 設定ファイルが有効になっているかは以下のコマンドで確認できます。

>Sysmon.exe -c

Sysinternals Sysmon v3.00 - System activity monitor
Copyright (C) 2014-2015 Mark Russinovich and Thomas Garnier
Sysinternals - www.sysinternals.com

Current configuration:
- Service name: Sysmon
- Driver name: SysmonDrv
- HashingAlgorithms: MD5
- Network connection: enabled
- Image loading: disabled

Rule configuration (version 1.00):
- ProcessCreate onmnatch: include
- ProcessTerminate onmnatch: include
- FileCreateTime onmnatch: include
- ImageLoad onmnatch: include
- CreateRemoteThread onmnatch: include
- DriverLoad onmnatch: include
- NetworkConnect onmnatch: include
SourceHostname filter: is value: 'Hostname'
DestinationHostname filter: is value: 'Hostname'

 この設定ファイルの例では、ネットワークの項目で Include を指定し、SourceHostname か DestinationHostname のいずれかが自分宛てである場合にログを残すようにしています。

ただ、これでもまだノイズとなるレコードは出ると思いますので、更にフィルタできると良いのですが、Include で IS NOT を併用しても手元ではうまくフィルタできませんでした。

この例では Include をデフォルト指定にしていますが、Exclude をデフォルトにして、ノイズを落とすような条件を設定する方が結果的には良い場合もあるかと思います。

特に定期的に127.0.0.1 宛ての通信が出るなど、無駄なレコードがある場合には Exclude として条件を構築した方がすっきりする印象があります。

最後に忘れずに、sysmon のログサイズを増やしてください。デフォルトでは 65536 KB になっているかと思いますが、環境によっては全然足りないかと思います。

手元のPCでは、5MB/day という感じですので、 一ヶ月約150MB、3カ月程度は遡れるようにしたいとすれば450MB～500MBにサイズを増やしておく必要があります。

クライアントPCであれば500MB程度を消費してもそれほど空き領域を圧迫するということは無いと思われます。

逆にサーバで通信の履歴を取得するのはかなり困難が予想されますので、事前にテストしてから判断いただく必要があると思われます。

サーバ側では、ファイルへのアクセス履歴などを検討した方が標的型攻撃による被害を想定した場合には現実的かもしれません。プロセスの通信履歴を残したとしても、その通信でどのファイルをC&Cへ送ったのか？という事は追跡できませんので、どの様なファイルにアクセスしたか、流出した可能性があるのか？を追跡するには、別途ファイルアクセスの履歴が残されている必要があります。

<お願い>

皆さんのご協力があって、目標金額に達したようです！！ありがとうございました！！

マルウェアへの感染が発覚した場合、該当端末を一時的にネットワークから隔離し、その後、より詳細に調査を行うという手順が一般的に取られるかと思います。

明確な対応手順が決まってない組織では、ネットワークからの隔離後に色々と操作をしてしまい、せっかく残っていた痕跡を消してしまう事があるようです。

「隔離後は触らずに、次の正しい手順を確認する」としていただけると、その後の対応コストを抑える事ができるかもしれません。*1

次の手順として、セキュリティベンダへ連絡する、というのは時間がかかりますので注意してください。窓口へ連絡し、事情を説明したり、守秘義務契約や対応コストの見積もりを取るなどしていれば、すぐに数時間は経過してしまいます。

必要最低限のことは、自組織内で対応できるようにしておかないと、復旧までの時間が長引きコストが増える事になります。

ここ最近の流れとしては、標的型攻撃を受け侵入された事が判明した場合には、感染端末の隔離後、上流でネットワークを一旦遮断する方向になりつつあるようです。

昨今、インターネット接続が完全に遮断されると業務への多大な影響（コスト）が発生しますので、いかに早く復旧していくかが課題になります。

事案発生後、一時的に通信を遮断するとして、その後はホワイトリストに従い安全かつ必要な通信は許可する必要があります。例えばWindows Updateや、ウイルス対策ソフトのアップデートなどは行う必要がありますので、それらに対するWebの通信は許可する必要があります。

ただし、マイクロソフト社へのアクセスを全て許可するというのはお薦めできません。過去にTechnetのフォーラムがC&C通信で利用されていた事があったようですので、マイクロソフト社のサイトでも必要最低限な範囲に絞って通信を許可する方が安全です。

その他、過去にはアプリケーションをアップデートする仕組みが悪用されたケースもありますので、アプリケーションの更新であれば全てホワイトリストに含める、というのは危険です。

自社のWebサイトやポータルもホワイトリストへ登録する事は危険です。いわゆる水飲み場攻撃では、安全と考えられているサイトが改ざんされ攻撃に利用されるケースがある為です。

例えば、年金機構に関連した報道の中には、攻撃者が侵入した機器でWebブラウザが保存していたパスワードを搾取する事例について紹介がありました。

最近のマルウェアは標的型に関わらず、感染した機器に保存されている認証情報を収集する機能が備わっているようです、該当機器から漏えいした自社のWebサイトに関する認証情報などが悪用されるケースにも備える必要があります。

Webサイトに限らず、メールサーバへのログオン情報や（個人が利用している）SNSに関するアカウント情報なども保存していれば盗まれていきます。

標的型攻撃によるマルウェアに感染した端末では、これらのパスワード変更も急ぎ必要になります。社外サイトの場合にはそこにアクセスしてパスワードを変更する必要が出てきますが、通信が完全に遮断されているとうまく対応できない可能性があります。

この他、クラウド上のストレージなどを含め様々なサービスがある（便利な仕組みは攻撃者も利用する可能性がある）ので、Webの通信だけを考慮しても、ホワイトリストの整備はかなりのコストがかかる事になります。

ホワイトリストの厳格な適用とは別に、侵害範囲の特定、侵害されていない安全な機器を素早く確認し、安全性が確認でき、一定の基準をクリアした機器からの通信は許可する基準や仕組みを構築しておけば、復旧に要する時間や全体コストを下げられる可能性があります。

そして、その基準を考慮する際には、端末機器におけるホワイトリストの整備が必要になってきます。

米国では NIST が National Software Reference Library（http://www.nsrl.nist.gov/）としてハッシュ値を公開しています。しかし、日本国内ではこういった取り組みをどこか国の機関が実施し公開しているというのは聞いた事がありません。

日本国内で流通しているOSやアプリケーションなどのハッシュ値を適宜収集、ホワイトリストとして提供されていると役立つと思うのですが、何処もやらないのでしょうか？

睡眠時間が短くて済みますって宣伝文句に釣られてしまい、プレオーダーで注文してしまったのが1月12日のこと。

その翌日、やはり思い直して1月13日にキャンセルのメールを送ったんですけど、返事がないので時間を空けつつ、6回目 1月30日にやっと下記のメールが届きました。

Aleksandra Siciarz (Intelclinic)

Jan 30, 9:54 AM

Hi,

Sorry for the delay with the answer. Your cancellation inspiring accepted, you can expect the return on PayPal account within one week.

Best regards,

Aleksandra Siciarz
Business Development Manager
Business Analyst
Intelclinic LLC

さて、その後ですが、一週間後どころか一ヶ月経ってますけど返金処理はされていません。2週間くらい待って更に何度もメールはしているんですが、返事なし。

なんか、この会社は日本でも展示会か何かに出展していたようで、上記の返事を書いてた人も居たみたいですけど、個人的にはすっかり騙されちゃったなぁという感じです。

Paypal 経由の支払いを初めて使ったのですが、即時にクレジットカードへ課金されていてキャンセルできなかったのも痛いですが、Paypal経由の支払はこの辺り気を付けないといけないんでしょうかね。

これは結局この後どうなるんでしょうねぇ、キャンセルって扱いで商品も届かず、お金も戻ってこないという事になりそうな予感がしていますが、アップデートがあったらまた書きます。

 <追記>

その後、3/4 になってやっと返金処理したよという返事があり、Paypal からも返金処理のメールが届きました。

例えばトレーニングで「電子メールに添付されたマルウェアに感染」したケースを説明しなければいけないとします。

受講者が事前に学習する必要がある項目には何があるのでしょうか？、関連する技術要素として、どこまで事前に知っている必要があるのか？という点を考えてみたいと思います。

受信した電子メールには圧縮ファイルが添付されていました。この圧縮ファイルにはパスワードが設定されており、展開ツールを使ってファイルを取り出す際にパスワードが求められるようになっており、ウイルス対策ソフトは中身を確認する事ができない仕組みになっています。

圧縮ファイルのパスワードは電子メール本文に書かれており、本文内に書かれたパスワードを入力する事でファイルを取り出す事ができます。取り出されたマルウェアプログラムが人間により“実行”される事でコンピュータがマルウェアに感染する事になりました。

この例を理解し調査する為には、どの程度の知識が必要になるか？を把握したいわけです。まずは、理解が必要な技術的な要素に分解してみます。（項目によっては更に詳細に分割できる項目もありますが、まずは大き目に分解してみます）

項目によっては必須の項目・別に知らなくても困らない項目もあると思います。分解した項目に対して、更に必須項目を絞り込んでいく必要があります。（事前に知っているべき事柄と、上記例題を説明していく際に、何を理解いただくのかは分離して考える必要がありますが）

■電子メール関連

1. SMTPプロトコル（TCP、IP、MACアドレス、ルーティング）
2. DNS MXレコード（ドメイン名とMXの関係）
3. メールの配信（MUAとMTAの関係、配信経路、時刻情報）
4. メールサーバのログ（SMTPログ、時刻情報）
5. メールアカウント（Userと認証、容量制限、ログイン日時、etc）
6. メールボックス（POP・IMAPプロトコル、Web経由のアクセス、転送）
7. メールヘッダ（日付、配信、各種ヘッダ）
8. メールアドレス（TO、CC、BCC、From）
9. メールソフトウェア（MUA）
10. メールソフトウェア毎のメールボックス形式
11. メールの保存形式（Mbox、PST、EML、etc）
12. メールボックスの所在（ファイルシステム上のパス又はCloud）
13. メールボックス内のメタデータ（MAPI情報、作成・更新、フラグ etc）
14. メールのソースデータ（オリジナルのデータ）
15. メールを開いた（読んだ）日時
16. 文字コード（ISO-2022-JP、UTF-8、etc）
17. 添付ファイル（ファイル名、エンコード形式、MIMEエンコード）
18. 添付ファイルのタイムスタンプ
19. 電子メールソフトウェアでの添付ファイルの取り扱い（一時フォルダ）
20. 添付ファイルをオープン（取り出し）した日時
21. オープンされた添付ファイルが持つファイルシステム上のタイムスタンプ

■ファイル形式

1. ファイル名と拡張子（データ内容）、拡張子の種類
2. ファイル名の長さ、文字コード
3. 拡張子の表示
4. 拡張子とアプリケーションの関連付け
5. ファイル形式（実行ファイル、圧縮ファイル、etc）
6. 圧縮ファイルとその種類
7. 圧縮ファイルの作成・展開ツール
8. 圧縮ファイルのパスワード設定、暗号化
9. 圧縮ファイル内ファイルのタイムスタンプ
10. 圧縮ファイル自体のファイルシステム上でのタイムスタンプ（作成・更新）
11. 圧縮ファイルを展開した際のファイルタイムスタンプ
12. 実行形式ファイル（OSやアーキテクチャによる違い）
13. 実行形式ファイル内のタイムスタンプ
14. 実行ファイルのファイル名偽装方法
15. 実行ファイルのアイコン偽装

■プログラム実行

1. プログラムの実行の仕組み（実行方法）
2. プログラムの権限
3. プログラムの実行痕跡
4. マルウェアプログラムの特性
5. マルウェアの感染痕跡
6. マルウェアの追跡（発見）

前提としてWindowsを想定していますが、スマートフォンを含めていくと更に項目が増えていきますね。

EnCase を使い始めてかなりの年数が経過していますが、他のツールも使うようになりつつあるので、一度 EnCase に対して（自分にとって）必要な項目を棚卸ししてみたいと思います。まずは、データの取得から表示辺りまで。

■インストール・設定・ケース作成

1. 最新版EnCaseのダウンロード&適切なインストール
2. EnCaseが利用するフォルダパスとそれぞれの役割理解
3. ダウンロードしたCertファイルの役割と配置方法
4. EnCaseの起動モード（AcquisitionとForensics）の違いについての理解
5. EnCase のバージョン番号や追加モジュールの有無をHELPから確認
6. Options⇒Globalタブの設定項目についての理解
7. Options⇒Code Page設定の役割と、各OSに応じた設定すべきCode Pageについての理解
8. Options⇒Code Page設定が誤っている場合に発生する、文字化け範囲の理解
9. Options⇒Flag Lost Filesの設定に関連するFATファイルシステムの仕組の理解
10. Options⇒Dateタブで日付形式の設定や表示方法の変更。
    曜日表示、タイムゾーン表示の設定変更。
11. Options⇒Colors上の配色変更、それぞれの色がどこで使われるかの理解
12. Options⇒Fonts設定で多言語を表示する為の変更、Arial Unicode MS の役割理解
    フォントセットとCode Pageの役割理解
13. Options⇒Data Pathタブの内容理解
14. 新規ケースの作成方法（ケースフォルダの適切な配置）
15. Evidence Cacheフォルダの役割理解
    セカンダリEvidence Cacheの役割理解
16. バックアップ設定の理解と適切な設定
17. バックアップ対象と制限事項の理解
18. バックアップからのリストア手順の理解

■イメージコピーの取得・証拠ファイル形式

1. 証拠ファイル形式についての理解（E01,Ex01）
2. 論理証拠ファイル形式についての理解（L01,Lx01）
3. 証拠ファイル形式の内部構造の理解（CRC,ハッシュ値）
4. 証拠ファイルの作成時に設定するオプション項目の理解
5. 証拠ファイルの圧縮方式の違いと、コピー速度への影響についての理解
6. 証拠ファイルのパスワード設定と暗号化の違いについての理解
7. イメージコピー作成中の中断処理と再開処理の理解
8. イメージコピー作成中に発生するエラー処理と設定の理解
9. 証拠ファイルのベリファイ手順・処理の理解
10. 証拠ファイルのベリファイ処理でエラーになった場合の対処
11. 証拠ファイル・イメージファイルの手動でのハッシュ計算
12. 証拠ファイルの再取得・圧縮方法
13. 証拠ファイルをRAW形式へ変換する
14. 物理ディスク・論理ボリュームの取得
15. デバイス追加時、Edit 画面で設定可能な項目の理解
16. RAIDボリュームの取得
17. 暗号化ディスク・暗号化ボリュームの取得
18. 稼働中システムの取得
19. RAW形式を証拠ファイル形式へ変換する
20. FastBloc SEの利用方法＆書き込み禁止措置の理解
21. HPA・DCO設定と対応方法に関する理解
22. Linenの利用方法（OS起動メディアの準備）
23. サーブレットの作成手順、Direct Network Previewの利用方法
24. サーブレットを使ったメモリイメージの取得方法
25. Winenを使ったメモリイメージの取得方法
26. Winacqを使ったディスクイメージの取得方法
27. WIPE機能の利用方法
28. イメージファイルの物理ディスクへのリストア方法

■ケースへの証拠ファイル追加（Add Eviddnce）

1. プレビューとイメージ閲覧の違いの理解
2. ローカルディスクのプレビュー方法
3. サーブレットを使ったプレビュー方法（Direct Network Preview）
4. クロスケーブルを使ったプレビュー方法 (Crossover Preview)
5. RAW形式イメージファイルの追加（DD、ISOイメージ等）
6. 証拠ファイルの追加
7. GUIDとEvidence cacheファイル内の関係についての理解
8. Singleファイルの追加（Singleファイルの制限・注意事項）

■パーティション・ボリュームの追加・閲覧・コピー

1. ドライブ文字の付与ルール、ドライブ文字の変更方法
2. デバイス・ボリュームの詳細情報確認（レポート）
3. 未使用範囲の確認
4. （削除）パーティションの追加・削除
5. （削除）パーティションの検索（VBRの検索）
6. バックアップVBRを利用したパーティションの復元
7. BitLocker暗号化ボリュームの追加
8. RAIDボリュームの再構成手順
9. LVMボリュームの再構成手順（Scan for LVM）
10. EFS暗号化の利用確認（Description）と対応（Analyze EFS...）
11. Windows タイムゾーンの確認方法（SYSTEMレジストリ）
12. Linux タイムゾーンの確認方法
13. Mac OS X タイムゾーンの確認方法
14. タイムゾーンの設定、反映確認方法
15. FATボリューム上の削除ファイルにおいて、日本語だと先頭が正しく扱われないケースへの対応
16. FATボリュームのボリューム名が文字化けする場合の確認方法
17. FATボリューム上のInvalid Cluster表示に関するクラスタ開始位置に関する理解
18. Unallocated Clusters の意味と役割の理解
19. VFSを利用した（仮想的な共有ドライブを通じた）エクスプローラからのデータアクセス
20. PDEを利用した（仮想的な物理ディスクを通じた）エクスプローラからのデータアクセス
21. PDEを利用した VSS （以前のバージョン）へのアクセス
22. Copy Files/Copy Foldersを利用したファイルのコピー方法、コピー範囲、ファイルの連結、フォルダ構造を維持したコピー、重複ファイル名の扱い、長いパスの扱いについての理解
23. Copy Files/Copy Foldersを利用したファイルコピー時のタイムスタンプ維持についての理解
24. Copy Files/Copy Foldersの設定において、分割サイズを０に設定しておくことで分割を行わずに取り出す
25. Copy Files/Copy Folders の対象に $BadClus;$Bad は含めない意図の理解
26. View File Structureを使ったコンパウンドファイルのマウント手順
27. View File Structureでマウントしたコンパウンドファイルのアンマウント手順
28. デバイスのキャッシュファイル削除方法と影響の理解

■削除ファイルの取り扱い

1. 削除ファイルに関連したアイコン、関連カラムの表示内容の理解
2. 削除ファイル（Overwritten）の上書きファイルの名前確認と参照方法
3. Lost Filesに含まれるファイルの意味（親が不明）とファイルシステム側での仕組みの理解
4. Recover Foldersの手動実行と結果セットの削除方法
5. Recover Foldersの役割（対象範囲）とNTFS・FATファイルシステム上での仕組みの理解
6. Recover Foldersを実行した場合の、Unallocated Clusters への影響（該当クラスタの取り扱い）
7. 削除ファイルの上書き判定（先頭クラスタによる判断）の理解
8. FATボリューム上での削除ファイルの先頭ファイル名の取り扱い
9. FATボリューム上での削除ファイルのサイズ（データ範囲）の取り扱い
10. ゴミ箱フォルダへのファイル移動時に発生するNTFS上の変化についての理解
11. ゴミ箱フォルダへのフォルダ移動時に発生するNTFS上の変化についての理解
12. ゴミ箱フォルダ内データの表示ルール（$I、$Rの取り扱い）
13. ゴミ箱フォルダ内ファイルの削除日付の扱い
14. ゴミ箱フォルダ内ファイルのオリジナルパス（$Iとの関連、$Iが無い場合）
15. ゴミ箱フォルダ内 INFO2 ファイルのデコード、スラック上の取り扱い
16. ゴミ箱フォルダ内のSIDとユーザー名の紐づけ（SID、RID、プロファイル）
17. スラック領域の表示色と範囲の理解（各スラック領域）

■画面表示

1. セットインクルードとブルーチェックの役割理解
2. ディクソンボックスの役割理解
3. GPSバーに表示される各項目の理解
4. GPSバーのLE値を使った範囲の選択
5. GPSバーのFO, SO 値を使ったオフセット位置の確認
6. 各カラムが表示する内容の理解
7. テーブルペイン上カラムの表示列のロック方法・解除方法
8. テーブルペイン上カラムの非表示設定
9. テーブルペイン上カラムのソート方法・解除方法、6段階でのソート追加
10. テーブルペイン上カラムの並び順の変更
11. 特定のカラムに対応したビューペイン上のタブについての理解
12. ビューペイン上にある各タブが表示する内容の理解
13. ビューペイン上にあるDocビューとTranscriptタブの役割の理解
14. ビューペイン上Textタブでの日本語（CJK）表示方法
15. ビューペイン上TextタブでのShift_JISやUnicodeを指定した場合に、文字列が２バイト単位で扱われている方法の理解（折り返し位置で化ける場合）
16. ビューペイン上Textタブで、複数文字コードのデータが混在する場合の表示
17. 日本語文字列を表示する際に利用するCode Page番号の理解
18. Outside Inの役割と制限事項の理解
19. Go To 画面の使い方（数値変換、マイナス値非対応）
20. ビューペイン上 Decode タブを利用したデータの変換方法
21. ビューペイン上 Picture タブでの画像表示（Options設定との関係）
22. ビューペイン上 Picture タブがサポートする画像ファイル形式
23. ビューペイン上 Picture タブの画像表示制限（レイヤーを扱えない）
24. ビューペイン上 Attributes タブの役割（表示内容）の理解
25. ビューペイン上 Console の役割と表示される項目の理解
26. ビューペインの取り外しと、戻し方
27. ギャラリービューの制限事項（シグネチャ解析後でなければ拡張子に依存して画像を表示）
28. ギャラリービューのレンダリング順序変更（Optionsでの設定変更）
29. ギャラリービューにおける破損画像の取り扱い（Optionsでの設定変更）
30. テーブルエントリでアイテムをダブルクリックした時の動作（呼び出されるアプリケーションとの関連付け）
31. 外部ビューアの登録と呼び出し方、外部ビューアで扱う為の一時ファイルの取り扱いについての理解