「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

SRUM（System Resource Usage Monitor）の「AppTimelineProvider」テーブルから取得できる情報はどれか。

Windowsがネットワークに接続した際、そのネットワークが「パブリック」「プライベート」「ドメイン」のいずれであるかを識別するNLA（Network Location Awareness）情報はどのレジストリキーに関連するか。

SAMハイブのユーザー情報（F値）に含まれる、アカウントが最後にパスワード変更を行った日時を示すオフセット位置のデータは、どのような形式で記録されているか。

OutlookのOSTファイルのサイズが肥大化するのを防ぐため、古いデータをサーバーに残したままローカルから削除する機能を使用した場合、フォレンジック調査への影響は何か。

BitLockerが有効なデバイスで、TPMによる保護のみ（PINなし）で運用されている場合、システムがスリープ状態のときにコールドブート攻撃で暗号化キーを取得できる可能性がある理由はどれか。

NTFSのセキュリティ記述子（アクセス制御リストなど）を一元管理し、重複を排除して格納しているメタデータファイルはどれか。

ジャンプリスト（AutomaticDestinations-ms）内の各エントリ（DestListストリーム）に記録されている情報で、ファイルへのアクセス回数を示す値はどれか。

Chromeのセッション復元機能において、タブごとのナビゲーション履歴（戻る・進むリスト）を保存しているデータの構造形式はどれか。

レジストリの「MountedDevices」キーにおいて、USBメモリなどのリムーバブルメディアを識別するために使用される値はどれか。

タスクスケジューラによってタスクが開始されたことを示すイベントID（TaskScheduler/Operationalログ）はどれか。