2015年時点での自分的 EnCaseスキルセットを棚卸し(1)
EnCase を使い始めてかなりの年数が経過していますが、他のツールも使うようになりつつあるので、一度 EnCase に対して(自分にとって)必要な項目を棚卸ししてみたいと思います。まずは、データの取得から表示辺りまで。
■インストール・設定・ケース作成
- 最新版EnCaseのダウンロード&適切なインストール
- EnCaseが利用するフォルダパスとそれぞれの役割理解
- ダウンロードしたCertファイルの役割と配置方法
- EnCaseの起動モード(AcquisitionとForensics)の違いについての理解
- EnCase のバージョン番号や追加モジュールの有無をHELPから確認
- Options⇒Globalタブの設定項目についての理解
- Options⇒Code Page設定の役割と、各OSに応じた設定すべきCode Pageについての理解
- Options⇒Code Page設定が誤っている場合に発生する、文字化け範囲の理解
- Options⇒Flag Lost Filesの設定に関連するFATファイルシステムの仕組の理解
- Options⇒Dateタブで日付形式の設定や表示方法の変更。
曜日表示、タイムゾーン表示の設定変更。 - Options⇒Colors上の配色変更、それぞれの色がどこで使われるかの理解
- Options⇒Fonts設定で多言語を表示する為の変更、Arial Unicode MS の役割理解
フォントセットとCode Pageの役割理解 - Options⇒Data Pathタブの内容理解
- 新規ケースの作成方法(ケースフォルダの適切な配置)
- Evidence Cacheフォルダの役割理解
セカンダリEvidence Cacheの役割理解 - バックアップ設定の理解と適切な設定
- バックアップ対象と制限事項の理解
- バックアップからのリストア手順の理解
■イメージコピーの取得・証拠ファイル形式
- 証拠ファイル形式についての理解(E01,Ex01)
- 論理証拠ファイル形式についての理解(L01,Lx01)
- 証拠ファイル形式の内部構造の理解(CRC,ハッシュ値)
- 証拠ファイルの作成時に設定するオプション項目の理解
- 証拠ファイルの圧縮方式の違いと、コピー速度への影響についての理解
- 証拠ファイルのパスワード設定と暗号化の違いについての理解
- イメージコピー作成中の中断処理と再開処理の理解
- イメージコピー作成中に発生するエラー処理と設定の理解
- 証拠ファイルのベリファイ手順・処理の理解
- 証拠ファイルのベリファイ処理でエラーになった場合の対処
- 証拠ファイル・イメージファイルの手動でのハッシュ計算
- 証拠ファイルの再取得・圧縮方法
- 証拠ファイルをRAW形式へ変換する
- 物理ディスク・論理ボリュームの取得
- デバイス追加時、Edit 画面で設定可能な項目の理解
- RAIDボリュームの取得
- 暗号化ディスク・暗号化ボリュームの取得
- 稼働中システムの取得
- RAW形式を証拠ファイル形式へ変換する
- FastBloc SEの利用方法&書き込み禁止措置の理解
- HPA・DCO設定と対応方法に関する理解
- Linenの利用方法(OS起動メディアの準備)
- サーブレットの作成手順、Direct Network Previewの利用方法
- サーブレットを使ったメモリイメージの取得方法
- Winenを使ったメモリイメージの取得方法
- Winacqを使ったディスクイメージの取得方法
- WIPE機能の利用方法
- イメージファイルの物理ディスクへのリストア方法
■ケースへの証拠ファイル追加(Add Eviddnce)
- プレビューとイメージ閲覧の違いの理解
- ローカルディスクのプレビュー方法
- サーブレットを使ったプレビュー方法(Direct Network Preview)
- クロスケーブルを使ったプレビュー方法 (Crossover Preview)
- RAW形式イメージファイルの追加(DD、ISOイメージ等)
- 証拠ファイルの追加
- GUIDとEvidence cacheファイル内の関係についての理解
- Singleファイルの追加(Singleファイルの制限・注意事項)
■パーティション・ボリュームの追加・閲覧・コピー
- ドライブ文字の付与ルール、ドライブ文字の変更方法
- デバイス・ボリュームの詳細情報確認(レポート)
- 未使用範囲の確認
- (削除)パーティションの追加・削除
- (削除)パーティションの検索(VBRの検索)
- バックアップVBRを利用したパーティションの復元
- BitLocker暗号化ボリュームの追加
- RAIDボリュームの再構成手順
- LVMボリュームの再構成手順(Scan for LVM)
- EFS暗号化の利用確認(Description)と対応(Analyze EFS...)
- Windows タイムゾーンの確認方法(SYSTEMレジストリ)
- Linux タイムゾーンの確認方法
- Mac OS X タイムゾーンの確認方法
- タイムゾーンの設定、反映確認方法
- FATボリューム上の削除ファイルにおいて、日本語だと先頭が正しく扱われないケースへの対応
- FATボリュームのボリューム名が文字化けする場合の確認方法
- FATボリューム上のInvalid Cluster表示に関するクラスタ開始位置に関する理解
- Unallocated Clusters の意味と役割の理解
- VFSを利用した(仮想的な共有ドライブを通じた)エクスプローラからのデータアクセス
- PDEを利用した(仮想的な物理ディスクを通じた)エクスプローラからのデータアクセス
- PDEを利用した VSS (以前のバージョン)へのアクセス
- Copy Files/Copy Foldersを利用したファイルのコピー方法、コピー範囲、ファイルの連結、フォルダ構造を維持したコピー、重複ファイル名の扱い、長いパスの扱いについての理解
- Copy Files/Copy Foldersを利用したファイルコピー時のタイムスタンプ維持についての理解
- Copy Files/Copy Foldersの設定において、分割サイズを0に設定しておくことで分割を行わずに取り出す
- Copy Files/Copy Folders の対象に $BadClus;$Bad は含めない意図の理解
- View File Structureを使ったコンパウンドファイルのマウント手順
- View File Structureでマウントしたコンパウンドファイルのアンマウント手順
- デバイスのキャッシュファイル削除方法と影響の理解
■削除ファイルの取り扱い
- 削除ファイルに関連したアイコン、関連カラムの表示内容の理解
- 削除ファイル(Overwritten)の上書きファイルの名前確認と参照方法
- Lost Filesに含まれるファイルの意味(親が不明)とファイルシステム側での仕組みの理解
- Recover Foldersの手動実行と結果セットの削除方法
- Recover Foldersの役割(対象範囲)とNTFS・FATファイルシステム上での仕組みの理解
- Recover Foldersを実行した場合の、Unallocated Clusters への影響(該当クラスタの取り扱い)
- 削除ファイルの上書き判定(先頭クラスタによる判断)の理解
- FATボリューム上での削除ファイルの先頭ファイル名の取り扱い
- FATボリューム上での削除ファイルのサイズ(データ範囲)の取り扱い
- ゴミ箱フォルダへのファイル移動時に発生するNTFS上の変化についての理解
- ゴミ箱フォルダへのフォルダ移動時に発生するNTFS上の変化についての理解
- ゴミ箱フォルダ内データの表示ルール($I、$Rの取り扱い)
- ゴミ箱フォルダ内ファイルの削除日付の扱い
- ゴミ箱フォルダ内ファイルのオリジナルパス($Iとの関連、$Iが無い場合)
- ゴミ箱フォルダ内 INFO2 ファイルのデコード、スラック上の取り扱い
- ゴミ箱フォルダ内のSIDとユーザー名の紐づけ(SID、RID、プロファイル)
- スラック領域の表示色と範囲の理解(各スラック領域)
■画面表示
- セットインクルードとブルーチェックの役割理解
- ディクソンボックスの役割理解
- GPSバーに表示される各項目の理解
- GPSバーのLE値を使った範囲の選択
- GPSバーのFO, SO 値を使ったオフセット位置の確認
- 各カラムが表示する内容の理解
- テーブルペイン上カラムの表示列のロック方法・解除方法
- テーブルペイン上カラムの非表示設定
- テーブルペイン上カラムのソート方法・解除方法、6段階でのソート追加
- テーブルペイン上カラムの並び順の変更
- 特定のカラムに対応したビューペイン上のタブについての理解
- ビューペイン上にある各タブが表示する内容の理解
- ビューペイン上にあるDocビューとTranscriptタブの役割の理解
- ビューペイン上Textタブでの日本語(CJK)表示方法
- ビューペイン上TextタブでのShift_JISやUnicodeを指定した場合に、文字列が2バイト単位で扱われている方法の理解(折り返し位置で化ける場合)
- ビューペイン上Textタブで、複数文字コードのデータが混在する場合の表示
- 日本語文字列を表示する際に利用するCode Page番号の理解
- Outside Inの役割と制限事項の理解
- Go To 画面の使い方(数値変換、マイナス値非対応)
- ビューペイン上 Decode タブを利用したデータの変換方法
- ビューペイン上 Picture タブでの画像表示(Options設定との関係)
- ビューペイン上 Picture タブがサポートする画像ファイル形式
- ビューペイン上 Picture タブの画像表示制限(レイヤーを扱えない)
- ビューペイン上 Attributes タブの役割(表示内容)の理解
- ビューペイン上 Console の役割と表示される項目の理解
- ビューペインの取り外しと、戻し方
- ギャラリービューの制限事項(シグネチャ解析後でなければ拡張子に依存して画像を表示)
- ギャラリービューのレンダリング順序変更(Optionsでの設定変更)
- ギャラリービューにおける破損画像の取り扱い(Optionsでの設定変更)
- テーブルエントリでアイテムをダブルクリックした時の動作(呼び出されるアプリケーションとの関連付け)
- 外部ビューアの登録と呼び出し方、外部ビューアで扱う為の一時ファイルの取り扱いについての理解