HOME
CHFI (EC-Council) フォレンジック捜査官

「CHFI (EC-Council) フォレンジック捜査官」の記事一覧

レジストリのAppCompatCache（Shimcache）に記録されるプログラムの実行タイミングはどれか。

ファイルが実行された、あるいは単に存在していた記録が最終更新日時とともに保持される。

2026年3月5日

証拠品を封印する「証拠袋」に最低限記載すべき情報の組み合わせとして適切なものはどれか。

保管継続性を確保するため、いつ誰がどの案件で回収したかを特定する情報が必要である。

2026年3月5日

Windowsのイベントログを特定の期間分だけ意図的に削除するために使用される代表的なツールはどれか。

コマンドラインからログの取得、アーカイブ、および特定ログの消去が可能である。

2026年3月5日

NTFSにおいて、通常のデータとは別に保存される「代替データストリーム(ADS)」の名前を確認するコマンドはどれか。

/rオプションを使用することで、ファイルに付随するすべてのストリーム名が表示される。

2026年3月5日

Redisなどのインメモリデータベースの調査において、証拠を保全するためにまず行うべきことはどれか。

揮発性データであるため、SAVEコマンド等でメモリの内容をディスクに書き出す必要がある。

2026年3月5日

iOSの「暗号化されたiTunesバックアップ」に含まれるが、非暗号化バックアップには含まれないものはどれか。

暗号化を有効にすることで、キーチェーンなどの機密性の高い情報が抽出可能になる。

2026年3月5日

証拠の信憑性が争われる際、科学的証拠が一般的に認められた手法であるかを問う基準はどれか。

当該分野の専門家コミュニティにおいて一般的に受容されているかどうかを重視する。

2026年3月5日

Windowsの「Atomテーブル」を悪用し、悪意あるコードを他のプロセスに注入する手法はどれか。

OSの正規のデータ保存機能を悪用してコードを隠蔽し、検知を逃れる高度な手法である。

2026年3月5日

Dockerコンテナにおいて、コンテナが停止した際に消滅する一時的な書き込みレイヤーの名称はどれか。

コンテナ固有の変更分を保持するが、削除されると同時にその変更内容も消失する。

2026年3月5日

Sysmonのログにおいて、ネットワーク接続の確立を記録するイベントIDはどれか。

イベントID 3は送信元・送信先IPやポートを含むネットワーク接続を詳細に記録する。

2026年3月5日