HOME
EC-Council CHFI (Forensic Investigator)

「EC-Council CHFI (Forensic Investigator)」の記事一覧

Volatilityプラグインにおいて、隠蔽されたプロセスやリンク切れのプロセス構造体（EPROCESS）をメモリプールスキャンによって検出するコマンドはどれか。

psscanは、プロセスのリンクリストを辿るのではなく、メモリ上のプールタグヘッダーをスキャンしてプロセ…

2026年3月8日

exFATファイルシステムにおいて、削除されたファイルのディレクトリエントリの先頭バイトはどのような値に変更されるか。

FAT系（FAT32, exFAT）ファイルシステムでは、ファイルが削除されると、そのファイル名の先頭バイトが0xE5…

2026年3月8日

デジタル証拠の収集において、現場の状況や証拠保全の過程を記録するために最も基本的かつ重要なアクションはどれか。

現場到着時の画面の状態、配線、機器の配置などを写真撮影し、詳細なノートを取ることは、後の証拠能力維…

2026年3月8日

SQL Serverにおいて、特定のテーブルに対する変更履歴（データの新旧値）を自動的に記録・保持する機能はどれか。

CDC（変更データキャプチャ）機能は、テーブルへの挿入、更新、削除操作を検知し、変更内容を履歴テーブル…

2026年3月8日

iOSデバイスから削除された写真を復元する際、サムネイル画像が残存している可能性があるデータベースファイルはどれか。

Photos.sqlite（または関連するthumbnailsフォルダ）には、元の画像が削除されてもサムネイルキャッシュが…

2026年3月8日

Webサイトへのアクセス時に、攻撃者が用意した不正なDNSサーバーへ誘導し、偽サイトを表示させる攻撃手法はどれか。

ファーミングは、DNSポイズニングやhostsファイルの改ざんにより、ユーザーが正しいURLを入力しても不正な…

2026年3月8日

Amazon S3バケットのアクセスログを分析する際、認証されたリクエストを行ったAWSアカウントID（Canonical User ID）が記録されるフィールドはどれか。

S3サーバーアクセスログのRequesterフィールドには、リクエストを行ったIAMユーザーまたはルートアカウン…

2026年3月8日

パッキングされたマルウェアをメモリ上で解凍（アンパック）させ、そのメモリダンプを取得して解析する手法を何と呼ぶか。

実行によりメモリ上で元のコードが展開されたタイミングを狙ってダンプを取得することで、パッキングによ…

2026年3月8日

IIS (Internet Information Services) のログにおいて、デフォルトで記録される「time-taken」フィールドが表す値は何か。

time-takenフィールドは、サーバーがリクエストを受信してからレスポンスの送信を完了するまでの処理時間…

2026年3月8日

Linuxシステムにおいて、ファイルアクセスやシステムコールを詳細に監視・記録するためのカーネルレベルのサブシステムはどれか。

Auditdは、事前に定義したルールに基づいて、特定のファイルへのアクセスやシステムコールの実行をカーネ…

2026年3月8日