デジタルフォレンジック入門者のためのデジタルフォレンジック専門家2級実技試験対策講義（Encase/Autopsy）

こんにちは！

タイトルが少し大げさですが、先日オフライン講義やスタディグループの運営についてリクエストをくださった方がいらっしゃったので、関連するアンケートを実施しましたよね？

多くの方に参加していただいたわけではありませんが、それでもその中で意味のある意見を集めることができました。

その中で最も目立つ部分が、回答者全員がスタディグループへの参加を希望しているものの、探し方がわからず参加できていないという意見でした。

私自身が直接オフライン講義やスタディグループの運営ができれば色々と良いのですが、現実的に難しさがあるため、

申し訳ないという気持ちを込めて、代わりにスタディ（勉強会）を探している方々を繋げることができる小さなスペースを一つ用意しました。

https://padlet.com/nstyxn/DF_study

上のスクリーンショットのように、スタディへの参加を希望する方が一定の形式に合わせて投稿を残すと、該当地域をピンで表示して直感的に探せるようにした形式です。

一緒に勉強するスタディメンバーやスタディグループをお探しの場合、ここに登録していただくか、
こちらで確認した後に記載された連絡先へ問い合わせていただき、グループが作られるようお手伝いすることが目的です！

パドレット（https://www.padlet.com）が提供するサービスを利用したもので、無料会員登録後に利用が可能です。
（Web/アプリの両方で利用可能であり、非会員でも可能ではありますが、投稿後の修正や削除などの管理、および受講生以外の方も利用されるため、予防の観点からやむを得ずログインしなければ利用できないように設定しています！）

ご利用の際は必ず守ってください！

1) 目的に合わせてご利用ください！
- 一般の掲示板のように多くの話を交わす形式ではないため、大きな心配はしておりませんが、
それでも受講生の皆さんだけでなく、すべての人に公開されている場所ですので、問題が起きないよう目的に合わせてご利用をお願いいたします。
- 現在は投稿時に別途の許可なく自動的に投稿されますが、問題が発生した場合は、管理者の確認後に登録する方法などに変更される可能性があります。

2) 投稿形式を守ってください！
① 現在の居住地域（市・郡単位）を検索して選択（詳細な住所ではなく、お住まいの市や郡のみを残してください）
例) ソウル特別市江南区 X▶ソウル特別市, ソウル特別市江南駅 X▶ソウル特別市

② 連絡可能なメールアドレスを残してください
- 該当地域に居住するスタディ希望者の方々が連絡できるように、メールアドレスを必ず残してください

③ メールアドレス以外の個人情報は禁止です！
- 個人情報保護のため、携帯電話番号などメールアドレス以外の追加的なすべての個人情報は絶対に記載しないでください！（この部分は、私が確認した際に該当部分を強制的に修正する予定です）

④ 位置を選択した後、タイトルの不要な部分を整理していただけるとさらに良くなります！
例）South Korea, 仁川広域市 ▶ 仁川広域市

3) スタディの運営は100%自律です
このスペースは出会いを繋げる役割のみを担います。スタディの進行方式、場所、日程の調整などは、該当するスタディの参加者の皆様で自律的に進めてください〜

4) マッチング完了時は投稿の削除をお願いします
希望の人数でスタディの構成が完了したら、パドレットに掲載した投稿は削除してください！

5) 周囲にたくさん広めてください〜
私の講義を受講されている方々だけでは、首都圏以外の地域のスタディ構成がスムーズにいかないのではないかと考えています。講義を受けていない方々も全員参加して、地方でも円滑にスタディグループ活動ができるよう、周囲に最大限広めていただければ助けになると思います！

利用方法のご案内（モバイル基準）

1) アプリのインストール
Apple App store / Android Play store で「Padlet」を検索してインストール

2) 会員登録

3) プラン選択

無料アカウントの'Neon'を選択

4) 参加する > アドレス入力

スタディグループマッチングサービスにアクセスするために、[参加する]ボタンをタップ ▶ [URL入力]をタップ ▶ URLを入力
またはQRコードをスキャン

https://padlet.com/nstyxn/DF_study

5) 登録されたスタディを確認

マップ上のピンをタッチして内容を確認

6) スタディを登録する

• 下部のピンク色の'+'ボタンをタッチ

• 現居住地の入力：市・郡単位（ソウル特別市、仁川広域市、原州市、金海市、全州市など）で検索後
  検索結果から該当する市・郡のみが表示された検索結果を選択

  

• 内容に連絡可能なメールアドレス + その他伝えたいことを入力した後、[投稿] ボタンをタッチ
  🎈 メールアドレス以外の個人情報は絶対に入力禁止！
  🎈 タイトル欄に自動入力された不要な内容は編集していただくと、よりスッキリします！

果たして活性化されるだろうかという心配はあります。

大したことのない急ごしらえのページですが、それでも少しでもお役に立てれば幸いです！

現在は例をお見せするために、[テスト]という名前で登録されたサンプルがいくつかあります。

この部分は実際のスタディ募集記事が投稿されたらすべて削除予定ですので、参考にしてくださいね〜

Encaseを使って勉強をしている方に申し訳ありません。

23年10月以降、EnCaseに関する講義はもはや更新されなくなり、
質問も回答ができなくなったことをご案内いたします。

答えを出すためには、私はEncaseを使うことができなければ正確な答えを与えることができます。
Encaseが使えなくなって（残念ながらライセンスがない状況になりました）
Encaseの使用が不可能になることで講義の更新 もちろん、質問に対して正確な答えを出すことができなくなりました。

以前にアップロードした講義に関しては、一部の基本的な内容は回答できるかもしれませんが、
気になる点を直接プログラムを使用しながら映像や画像キャプチャの方法でお見せすることが最も効果的な点を考えてみたとき、記憶に依存して不正確な答えを出すには間違った情報を差し上げることができるという判断が入って
こういう決定をすることになった点申し訳ないと言われます。

こんにちは〜

さらにアップロードされた講義をお知らせしたいと思います。

過去19回のテストでパーティションの回復に苦労した人がたくさんいると思います。

MBRがないNTFS単一パーティションの場合、どのようにバックアップBRを見つけて回復するかについて

準備してみました。

19回試験の際にどのように毀損されていたのか正確に確認する方法がないので、そのに対する正確な答えを

ドリルは難しいので、MBRのないNTFS単一パーティションの場合、どの点をチェックするべきかについて

入れたので助けてほしいです

ありがとう:)

• 講義確認：[セクション14。補足講義] - [[共通]NTFSパーティションのBR復旧]

講義視聴案内

1.セクション0の講義紹介映像は必ず確認してください

2. すべての講義は[共通]/[EnCase]/[Autopsy]の末尾に区分されています。

1) [共通] : 使用したい分析ツールに関係なく共通して見なければならない映像

2）[EnCase]：Encaseを使用する場合にのみ見る必要がある画像

3) [Autopsy] : Autopsyを使用する場合にのみ見る必要がある映像

使用したい分析ツールに合わせて講義が行われるため

[共通] + [使用したい分析ツール]の映像のみを視聴してください。

例）Encaseを使用する場合：[共通]映像+[EnCase]映像

Autopsyを使用する場合：[共通]ビデオ+ [Autopsy]ビデオ

3. 講義映像をご覧になる前に、講義映像の下段にあるノート部分を確認してください～

4. 教材及び実習関連ファイルのダウンロードは、関連講義映像上部の「授業資料」ボタンでダウンロード可能です。

1）教材：[セクション1.法理論] - [[共通]法理論1]

2）法理論の整理：[セクション1.法理論] - [[共通]法理論2]

3) ツール機能説明など基本実習画像

- ファイル名：forensictool.E01

- ダウンロード：[セクション7.デジタルフォレンジックツールの使い方] - [[EnCase]EnCase1]

[セクション7.デジタルフォレンジックツールの使い方] - [Autopsy]Autopsy1]

※分析ツールに合わせて2箇所に分けて上げただけで同じファイルです。

4) FAT32/NTFSパーティションリカバリ用の実践イメージ

- ファイル名：パーティション回復1.zip（FAT32.001 / NTFS.001）

- ダウンロード：[セクション8.パーティションの回復] - [[共通]HxDを使用したパーティションの回復]

5) Encaseでのパーティション回復用の実践イメージ

- encase_partion_break.E01

- ダウンロード：[セクション8.パーティションの回復] - [[EnCase]EnCaseを使用したパーティションの回復]

※Encaseのみ

6）実習シナリオ1（画像ファイルと問題、レポート）

① EnCase使用時

- ファイル名：[EnCase]シナリオ1.zip（019-1-2-345.E01 /変速機技術流出。 pdf

- ダウンロード[セクション11。実習シナリオ1] - [[EnCase]実習シナリオプール1-1]

② Autopsy使用時

- ファイル名：[Autopsy]シナリオ1.zip pdf

- ダウンロード[セクション11。実習シナリオ1] - [[Autopsy]実習シナリオプール1-1]

7）実習シナリオ2（画像ファイルと問題、レポート）

① EnCase使用時

- ファイル名：[EnCase]シナリオ2.zip

- ダウンロード[セクション12。実習シナリオ2] - [[EnCase]実習シナリオプール2-1]

② Autopsy使用時

- ファイル名：[Autopsy]シナリオ2.zip

- ダウンロード [セクション12. 実習シナリオ2] - [[Autopsy]実習シナリオプール2-1]

8）実習シナリオ3（画像ファイルと問題、レポート）

① EnCase使用時

- ファイル名：[EnCase]シナリオ3.zip

- ダウンロード[セクション13。実習シナリオ3] - [[EnCase]実習シナリオプール3-1]

② Autopsy使用時

- ファイル名：[Autopsy]シナリオ3.zip（パク・ソンミンのusb.E01 /パク・ソンミンのusb.001 / [Autopsy]シナリオ3_シナリオと問題

- ダウンロード[セクション13。実習シナリオ3] - [[Autopsy]実習シナリオプール3-1]

5. 講義で使用する分析ツールなどのプログラムダウンロード

講義に使用するプログラムのダウンロードリンクご案内いたします

1) Encase

Encaseは商用プログラムとして別途ライセンスを保有している場合にのみ使用可能であり、直接インストールファイルを提供していないようで、インストールファイルの配布が可能かどうかを確認するのが難しい関係で、インストーラの提供が困難です。

2) FTK Imager

exterroのウェブサイトからダウンロード可能

https://www.exterro.com/ftk-imager

上記のリンクに入り、「ダウンロードFTKイメージャ」ボタンをクリックしてください

ダウンロードページにリンクされ、ダウンロードページ右側の情報(Fill out the form to download~)の内容を任意に作成して提出すればダウンロードが可能です。

現在のところ、4.7バージョンをダウンロード可能で、講義に使用した4.5.0.3と大きな違いがないため、4.7バージョンを使用しても構いません。

3) HxD

mh-nexusウェブサイトからダウンロード可能

https://mh-nexus.de/en/downloads.php?product=HxD20

上記のリンクに入ってから、中程度に韓国語バージョンの韓国語バージョンをダウンロードしてください。

講義に使用したバージョン2.5.0.0と同じバージョンです。

4) REGA/LNK Parser

高麗大学デジタルフォレンジックリサーチセンターツールページからダウンロードできます。

http://forensic.korea.ac.kr/tools.html

上記のリンクに入るとダウンロードページにリンクされ、

いくつかのツールのうち上から2番目のREGA /上から5番目のLNK Parserをダウンロードしてください

こんにちは！

Autopsyを使った講義が一部アップロードされました。

現在までに追加された講義は以下の通りです。

1）[セクション7デジタルフォレンジックツールの使い方] Autopsyツールの使い方1〜2

2）[セクション8パーティションの回復] Autopsyを使用したパーティションの回復

3）[セクション10情報確認方法] Autopsy情報確認方法1〜6

実習シナリオを除くAUtopsy川のアップロードが完了した状態であり、

実習シナリオ プール この映像は準備されると順次アップロード予定で、若干の時間がもっと必要になるようですができるだけ早くアップロードするようにさせていただきますㅜ_ㅜ

すばやくアップロードしようとすると映像の編集やその他の間違いがあるかもしれないと思いますが、

autopsy関連講義をご覧になっても、もし映像編集などの問題があれば申し訳ないという御言葉を先に申し上げ、

私に教えてくれたら修正させていただきます。

参考にautopsy鋼の内容に分類をして別途登録をしましたが、映像内部にencase/autopsy共通の内容は(主に理論説明部分)既存の映像を使って編集し、これにより音声に若干の異質感があるかもしれません。 （撮影をした場所が違うので音もやや違いがありますね）

また、既存映像を取り込んで編集をしてみると、言及される内容の中で「Encaseで確認してみると～」などのEncaseという言葉が言及される部分と、映像のPT部分の「Encase」となっている部分はフォレンジック分析プログラムを意味するのでautopsyでご理解いただきありがとうございます。

いくら追加的に持ち上げる講義なのですが、それでもあまりにも不良ではないかと心配が先になります。

実習シナリオ講義は、アップロードされると、もう一度ご案内いたします。ありがとうございます！

• 講義を見る順序

  • すべての講義はカリキュラム順に視聴してください

  • 講義のタイトルに[共通]と呼ばれる講義は必須講義です。

    その他、講義タイトルに「EnCase」または「Autopsy」とされている講義は、

    使用したいデジタルフォレンジック分析プログラムに合わせて1つだけを選択して順番に視聴してください。

受講生の皆さん、こんにちは〜 :)

私がこの講義を初めてオープンする時に約束したり、また多くの方々の要請があり、既存のencaseを利用した分析講義に、さらにautopsyを利用した分析講義をアップロードする予定です。

追加されるautopsy講義は既存の講義とは別の新しい講義ではなく、encase講義で取り上げた内容をautopsyの使用に合わせて一部修正して制作をしたため、実習用ファイルやシナリオは同じです。共通部分は既存講義をそのまま利用する予定です。

ただし講義映像の数が多くなるほど混乱を減らすために講義映像のタイトルに「共通」、「Encase」、「Autopsy」で区分して上げる予定なので、受講生の皆さんが用意する分析ツールに合わせて「共通」および「EncaseまたはAutopsy」勉強してください！（すべてのビデオを見る必要はありません！）

例）Autopsyでご用意される方は[共通]および[Autopsy]映像のみをご覧ください～

現在、自動psy用の教材と基本的な内容はある程度撮影を完了しています。

実習シナリオ3枚についての撮影が残っているのにこの部分が量が多いので少し時間がかかると思われたり、試験が1ヶ月余り残ったことを勘案してまず実習シナリオのプール映像は準備どおりにアップロードすることにして、すでに撮影が完了した部分だけがカリキュラムの順序に合わせて映像編集後にアップロードしようとします。

優先的にアップロードされる講義は、早ければ来週中後半程度で（23.6.2前後）予想されます。

できるだけ早くアップロードして、今回の20回試験を準備する方々にお役に立てるよう努力いたします。

ありがとう〜 :)