「GIAC Certified Incident Handler GCIH」の記事一覧

「揮発性データ（Order of Volatility）」の原則に従う際、ディスク上のスワップファイルやページファイルはどの程度の優先順位で収集すべきか。

Metasploitの「Psexec」モジュールを使用する際、ターゲットのWindows Defenderによる検知を避けるために、PowerShellペイロードを使用するオプション設定はどれか。

EDR（Endpoint Detection and Response）のフックを解除するために、ntdll.dllなどのシステムDLLをディスクから直接読み込み、メモリ上のフックされたDLLを上書きする手法はどれか。

OAuth 2.0において、認可コード（Authorization Code）を攻撃者が横取りし、アクセストークンを取得する攻撃を防ぐための拡張仕様はどれか。

Linuxにおいて、sudo権限を持つユーザーが「vi」や「less」などのコマンドを実行できる場合、そこからrootシェルを起動する手法を何と呼ぶか。

TLS 1.3の特徴であり、パッシブな盗聴による復号を困難にしている（秘密鍵が漏れても過去の通信が復号できない）性質はどれか。

マルウェアのC2通信を遮断するために「DNSシンクホール」を実装する場合、不正なドメインへのDNSクエリに対してDNSサーバーは何を返すべきか。

NTFSファイルシステムにおいて、ファイルの作成・削除・リネームなどの操作履歴が記録され、ファイルの完全削除後も痕跡が残る可能性があるログファイルはどれか。

「BloodHound」がAD情報を収集するために使用する、C#で書かれたデータ収集用エージェント（コレクター）の名前はどれか。

証拠保全において、稼働中のシステムからディスクイメージを取得する「ライブイメージング」が必要となる主な理由はどれか。