「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

PowerShellのScript Block Logging（イベントID 4104）において、ログサイズを削減するためにスクリプトが分割記録される場合、各ブロックを再構築するために必要な情報はどれか。

「トンネリング（Tunneling）」と呼ばれる現象により、NTFSの作成日時（Creation Time）に関して発生する事象はどれか。

Windows 10 1809以降で導入された「BAM (Background Activity Moderator)」と類似の機能を持ち、デスクトップアプリの実行を追跡する「DAM」は何の略か。

OutlookのMSGファイル（単一のメールファイルを保存したもの）を解析する際、送信者や件名などのメタデータが格納されている構造は何か。

Windows 10のアクションセンター通知データベース（wpndatabase.db）を解析することで、フォレンジック調査官が確認できる情報はどれか。

NTFSの「$Extend」フォルダ内に存在する「$ObjId」ファイルの主な役割は何か。

「BagMRU」キーの構造において、サブキーの番号（0, 1, 2…）は何を表しているか。

USBデバイスの「Container ID」は、複数の機能（例：プリンタとスキャナ複合機）を持つデバイスにおいて、どのように機能するか。

RDP接続の詳細な分析において、接続元のIPアドレスだけでなく、クライアントの画面解像度やタイムゾーン情報を確認できるイベントログはどれか。

Microsoft Edge (Chromium版) の「Collections（コレクション）」機能で保存されたデータは、どのファイルに格納されているか。