「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

LNKファイルのターゲット（リンク先）情報において、ローカルパス以外に、ボリュームのオブジェクトIDやMACアドレスを含む拡張情報ブロックはどれか。

BitLocker暗号化されたボリュームのイメージを取得する際、回復キー（Recovery Key）の識別子（ID）を確認するために使用できるコマンドはどれか。

NTFSのディレクトリインデックス（$INDEX_ALLOCATION）において、削除されたファイルのエントリが残存している可能性がある「Slack」領域を何と呼ぶか。

ユーザーが壁紙として設定した画像のパスを保持しているレジストリ値はどれか。

Windows 10の「Notification Center（アクションセンター）」のデータベースにおいて、通知が表示された時間を記録しているタイムスタンプの形式はどれか。

USBデバイス接続時に作成される「DeviceClasses」レジストリキー（HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses）の主な役割は何か。

Webメールの利用において、添付ファイルをドラッグ＆ドロップでアップロードしようとした際、ブラウザが一時的に作成するキャッシュファイルの痕跡として、最も可能性が高い場所はどれか。

NTFSボリュームにおいて、チェックディスク（chkdsk）によって修復された破損ファイルや孤立したファイルフラグメントが格納される隠しディレクトリはどれか。

Firefoxにおいて、セッション復元機能のために開いているタブやウィンドウの状態をJSON形式でバックアップ保存しているファイルはどれか。

Windows Defenderなどのウイルス対策ソフトがマルウェアを検知・駆除した履歴を確認できる、Microsoft-Windows-Windows Defenderの運用ログ名はどれか。