HOMELv032 BitLockerで暗号化されたボリュームがマウントされている状態で、物理メモリ(RAM)ダンプから抽出を試みるべきものは何か。 2026年3月8日 暗号化解除状態で稼働中のシステムメモリには、ディスクの復号に必要な鍵(FVEK/VMK)が展開されており、これを抽出して復号が可能になる場合がある。 クラウド環境での証拠収集において、物理的なストレージデバイスを押収する代わりに、管理画面やAPI経由で論理データを取得する際、証拠の正当性を担保するために重要な文書は何か。 FAT32ファイルシステムのディレクトリエントリにおいて、そのエントリが「削除済み」であることを示すために、ファイル名の先頭バイト(オフセット0)に書き込まれる値はどれか。
