スマフォのフォレンジックに関するGASF(GIAC Advanced Smartphone Forensics )という試験に合格したので、勉強方法含む体験記を書きます。
なお得点率は89%なので、そこそこ理解できたかなと思います。
FOR585 トレーニング
SANSの資格試験はトレーニングと(ほぼ)セットです。というか、トレーニングがメインなのかも?
100万円前後するので勤め先に出してもらいましょう。
GASFが対応するのはFOR585です。
6日間でAndroidとiOS(とおまけ程度のBlackBerryやWindowsPhone)に関する座学 + 実技を行います。
日本で開催してる日程で都合つくのが無かったので、シンガポール開催の回に参加しました。フルで英語で翻訳は一切ないので、リアルタイム翻訳のサブ音声がつく日本開催の回より少し辛いです。
本来の業務がインタラプトしてきたため、結構な時間は「ながら見」をしていました…
試験勉強!!
タイムラインにすると以下の通りです。前に受けたWindowsフォレンジックのGCFAの時と違い、いろいろあって準備が直前になりすぎました。ほぼ3日で準備したことになります。
| 時期 | 内容 |
| トレーニング直後 | 社内勉強会での資料作成のために、テキスト読み直し |
| (長い沈黙が続く) | – |
| 4ヶ月後 試験2日前 | 勉強開始 テキストをさらっと通読 1回目の模擬試験(得点率59%, 不合格!) |
| 試験1日前 | テキストをiPadの翻訳アプリで画像から翻訳し読みつつ、インデックス作成 (1冊/2.5~3.0時間程度掛かった) 4冊目まで終わる |
| 試験当日 | テキストをiPadの翻訳アプリで画像から翻訳し読みつつ、インデックス作成 5冊目が終わる 2回目の模擬試験トライ(得点率79%、合格!) – 模擬試験中に吐き気がするほどの偏頭痛が出て、バファリン効くまで2時間ほど横になる(痛すぎて眠れず) – 模擬試験のシステムは、オフラインになると時間のカウントダウンが止まるのか、起きたらまだ30分残ってたので解けた 持ち込み資料の印刷 電車に乗る10分前までに準備がギリギリ終わった |
インデックス作成 *最重要*
トレーニングのときに言われると思いますが、インデックス作成は最重要です。
もらった資料の中に、インデックス作成のサンプルがExcelがあると思います。 自己流でもよいので、作成します。
自分はテキスト番号、ページ番号、キーワード、説明の4列のみの表を作りました。ExcelでPDFにして、それをコンビニで2in1印刷しました。今回は全部で10ページほどになりました。
とにかく、テキスト上に並ぶ気になる単語は全部ブチコミます。
KTXファイルってなんだっけとか、ZTRASHEDDATE(カラム名)ってなんだっけとか、細かいワードを引くことが沢山あります。スライドでなく下部の文章もちゃんと読みます。
同じ事項でもどういうワードで引くケースが多いかを想像しつつ、インデックスに書き込んで行きます。例として、「iOS Acquiring Method」と「Acquiring Method (iOS)」のように、同じものを指していても別な表現の仕方ができる項目があります。そういうときはどの単語でインデックスを引くことになるか考えて書いて行きます。わからないときは全部のパターン書いちゃえばOKです。
ページ順で書き込んでいき、最後に「キーワード」->「テキスト番号」->「ページ番号」の優先度でソートします。
今回は準備時間が短かったので、テキスト読むのは翻訳アプリを頼りました。人力で全部読んだGCFAのときと比べると大幅な時間短縮になりました。
テキストのPDF版が配られるので、それを翻訳にかけてもよいですが、手元の紙のテキストにメモする際に対応を取るのが面倒だったため、紙のテキストを翻訳アプリで撮影して読んでました。
本来なら英語の専門用語を学ぶためにも人力で読んだ方がよいです。試験本番の問題は英語ですから。effecable areaとか言われてアタフタしたら困ります。
あとGASFだけの話ですが、iOSの話なのかAndroidの話なのか分かりにくいことがあるので、そこもインデックスにメモすると良いです。テキストの2と3はそれぞれAndroidとiOSの話に分かれていますが、1と4と5は入り混じっているためです。
持ち込み印刷物の準備
オープンブックポリシーとか言って、紙資料は持ち込み可です。
自分は以下を持ち込みました。上から順に、役に立ったものとなってます。
- 自作のインデックス(前述) & テキスト5冊 <- 一番使った
- SANS FOR585 ポスター <- 眺めたけど使わなかった
- SANS Android 3rd Party APP ポスター <- 眺めたけど使わなかった
- SANS iOS 3rd Party APP ポスター <- 眺めたけど使わなかった
- 教材として配布されたCellebriteのチートシート(iOS/Androidのアーティファクトまとめ) <- 見てない
- 教材として配布されたiOSのAdvanced Logicalで取得したアーティファクトのチートシート <- 見てない
他の注意点としては、セブンイレブンのプリンターは、PDFに設定されたサイズ値が対応範囲外とのエラーが出てSANSのポスターは印刷できませんでした。ファミリーマートのプリンターなら可。PDFのサイズ指定なんて無視して印刷してくれよ〜〜〜と思いました。
結果
最初に書いたように89%の得点率で合格しました。
試験時は偏頭痛はすっかり治ってましたが、トイレ行きたい状態でした。だけどテスト結果には影響なかったようです。
次回に備えてメモしますが、試験前に水あまり飲まない方が良いです。
まとめ
やはりインデックス作成が一番重要でした。
めちゃくちゃギリギリに始めて、頑張りすぎて吐き気のするほどの偏頭痛にもなりましたが、約3日の勉強でなんとか合格できました。
GCFAと比べると、GASFには実技(CyberLive)が無いしぶん少しラクでした。
なお新宿のテストセンターは画面比率おかしくて横長になっている点に注意です。
コメント