「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

ShimCacheのエントリに含まれる「File Size」フィールドが「0」である場合、通常どのような状況を示しているか。

NTFSの$MFTレコードにおいて、ファイルが削除されたことを示すフラグは、レコードヘッダのどのフィールド（オフセット）にあるか。

SRUM (System Resource Usage Monitor) データベースにおいて、アプリケーションが接続した無線LANのSSIDを特定するためにリンクさせる必要があるテーブルはどれか。

「MountPoints2」キー内の「CPC\Volume」エントリには、どのような情報が含まれているか。

Windows 10の「RecentDocs」レジストリキーは、ファイルの拡張子ごとにサブキーを作成するが、フォルダを開いた履歴はどのサブキーに記録されるか。

USBストレージデバイスの使用履歴調査において、レジストリキーの最終書き込み日時だけでは不十分な場合、デバイスの最初と最後の接続日時をより正確に特定するために併用すべきアーティファクトはどれか。

Google Chromeの「Preferences」ファイル（JSON形式）に含まれる情報のうち、フォレンジック調査で特に有用なものはどれか。

OutlookのPSTファイルを調査中、メッセージのヘッダ情報が欠落している場合でも、メッセージ本文や添付ファイルを取得することは可能か。

システム起動時に読み込まれるドライバの開始タイプ（Start値）において、「0」が意味するものはどれか。

PowerShellの実行ポリシー（Execution Policy）をバイパスしてスクリプトが実行された場合、その痕跡を確認するのに最も適したログはどれか。