CSIRT要員(技術系)の方を対象に、コンピュータ・ウイルスやマルウェア、標的型攻撃(※1)によって侵害されている疑いがあるWindows環境に対して、従来のウイルス対策ソフトによるスキャン対応だけでは、遠隔操作に利用するリモートコントロールツール(※2)などを正しく発見できない場合があります。
このコースでは、マルウェアや標的型攻撃により利用される攻撃手口(※3)の一つとして、自動開始拡張ポイント(※4)を確認し、自動起動に登録されているプログラムからマルウェア検体を探す手法について演習形式で学びます。また、セキュリティインシデントの発生が確認された後、被害を最小化し、適切な初動対応が実施できるよう留意すべき事項や、調査用複製データの取得手順についても学びます。
※1 APT:Advanced Persistent Threat
※2 RAT:Remote Access Trojan/Remote. Administration Tool
※3 TTPs:Tactics, Techniques and Procedures
※4 ASEP:Autostart Extensibility Points
コース終了いたしました。
概要をご覧ください
・インシデント・レスポンスや事故対応に関する基本的な理解
・Windows内部に関する基本的な知識とコマンドラインを利用した操作
・マルウェアの基本的な動作に関する知識
・標的型攻撃で利用される一般的な侵害手法に関する知識
当コースを修了した時点で、次のことができることを目標とします。
1.Windows環境において、マルウェア感染の疑いがあるシステムにおいて、マルウェアを特定しインシデントの発生を確認できるようになる
2.不用意な操作により、調査に必要な痕跡が破損したり、失われる事を防げるようになる
3.詳細なフォレンジック調査のためハードディスクの複製(取得)ができるようになる
1.手動によるマルウェア感染調査
手動でマルウェアを発見する場合に調査すべき観点
2.自動起動の確認によるマルウェア発見
ASEP (Automatic Start Extensibility Point)の調査手法
3.ファイルシステムの情報確認
ファイルシステムの詳細情報の確認方法
4.削除ファイルの復元とその限界
削除ファイルの確認方法
不用意な操作による重要な痕跡の喪失事例
5.メモリイメージ・ディスクイメージの保全
保全方法と手順
日数 | 1日間 |
---|---|
受講時間 |
10時00分 ~ 17時00分(昼休憩:60分) 当コースは、2019年5月以降10:00~17:00に変更になります。 |
受講料 | 165,000円 (税別価格150,000円) |
キャンセル規定 | 受講開始7日前から受講料(購入価格)の100%のキャンセル料がかかります。 |
---|---|
その他 | 【重要】キャンセル規定 |
当コースは、旧コース名:実践!デジタル・フォレンジック入門コース 事故対応編の改定版です。
座学による概論とハンズオンによる実習によって、専門性の高い知識が身につきます。
コース終了いたしました。