「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

Windows 10において、特定のファイル拡張子とそれに関連付けられたアプリケーションの設定（User Choice）を保護し、不正な変更を防ぐためのハッシュ値が含まれるレジストリキーはどれか。

ジャンプリストの「CustomDestinations-ms」ファイルは、どのようなファイル構造を持っているか。

Windows 8以降で導入された「RecentApps」レジストリキーは、どのユーザーインターフェース機能に関連しているか。

ファイルシステムレベルのアンチフォレンジック手法として、MFTレコード内の$STANDARD_INFORMATION属性のタイムスタンプのみを変更し、$FILE_NAME属性のタイムスタンプを変更し忘れるミスを突く検出手法は何と呼ばれるか。

LNKファイルの構造解析において、リンク先のパスがUNCパス（ネットワーク共有）である場合、「Network Provider」情報が含まれる構造体はどれか。

Webメール（Gmailなど）の利用痕跡を調査する際、ブラウザのキャッシュや履歴以外で、添付ファイルの内容が一時的に保存される可能性がある場所はどこか。

NTFSにおいて、ファイルサイズが非常に大きく、属性リストが複数のMFTレコードにまたがる場合に使用される、ベースレコード以外の拡張MFTレコードを何と呼ぶか。

プライベートブラウジング（Incognito）モードの痕跡をメモリダンプから調査する際、URLやページタイトルなどの文字列と共に検出される可能性が高い特徴的な構造はどれか。

USBデバイスが接続された際に、システムがそのデバイス固有の情報を取得できなかった場合、レジストリキーの「Properties」サブキー内に記録されるタイムスタンプはどうなるか。

実行ファイルごとの互換性設定を保存している「AppCompatFlags」キーにおいて、ユーザーが手動で「管理者として実行」を設定した場合に記録される値はどれか。