HOME
SANS GIAC GCFE (Forensic Examiner)

「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

「ファイル名を指定して実行」の履歴（RunMRU）とは異なり、エクスプローラのアドレスバーに直接パスを入力して移動した履歴を記録するレジストリキーはどれか。

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths キーには、アドレスバーに入力され…

2026年3月21日

NTFSのMFTレコード内において、属性データが「Resident（常駐）」として格納されるか「Non-resident（非常駐）」となるかの境界となるサイズはおよそどのくらいか。

MFTレコードサイズ（1024バイト）からヘッダ等を引いた残りの領域（約700バイト程度）に収まる場合、デー…

2026年3月21日

Amcache.hveファイル内の「InventoryApplication」キーには、アプリケーションに関するどのような情報が含まれているか。

InventoryApplicationキーには、インストールされたアプリケーションの名称、バージョン、発行元、インス…

2026年3月21日

サムネイルキャッシュ（Thumbcache_xxxx.db）の内部構造において、各サムネイル画像を一意に識別するためのIDは何と呼ばれるか。

Thumbcache内の各エントリは64ビットのCache ID（Windows IDやWIDとも呼ばれる）で管理されており、ファイ…

2026年3月21日

ハイバネーションファイル（hiberfil.sys）には含まれているが、通常のページファイル（pagefile.sys）には含まれていない可能性が高いデータはどれか。

hiberfil.sysは休止状態移行時の物理メモリの内容を圧縮保存したものであり、カーネルメモリを含むシステ…

2026年3月21日

受信したメールの送信元を偽装（スプーフィング）されている可能性を調査する際、SPF（Sender Policy Framework）やDKIMの検証結果が記録されることが多いヘッダはどれか。

Authentication-Resultsヘッダには、受信メールサーバーが行ったSPF、DKIM、DMARCなどの認証チェックの結…

2026年3月21日

Firefoxの閲覧履歴データベース（places.sqlite）において、URLごとの訪問回数や直近の訪問日時をリンクさせているテーブルペアはどれか。

moz_placesテーブルにはURLそのものが格納され、moz_historyvisitsテーブルにはそのURLへの個別の訪問履歴…

2026年3月21日

setupapi.dev.logにおいて、USBデバイスのドライバが削除された（アンインストールされた）ことを示すエントリのキーワードはどれか。

「Device Delete」に関連するエントリは、デバイスドライバがシステムから削除されたことを示し、意図的な…

2026年3月21日

セキュリティイベントログ（Security.evtx）を管理者が手動で消去した際、消去を行ったユーザーのアカウント名を特定するために確認すべきイベントIDはどれか。

イベントID 1102のログデータ内には、ログ消去を実行したユーザーのSIDやアカウント名が記録される。

2026年3月21日

Windows 10において、ShimCache（AppCompatCache）のデータから、ファイルが「実際に実行された」かどうかを100%確実に判断することはできるか。

ShimCacheはファイルの存在やメタデータをキャッシュするものであり、Win10以降に一部実行フラグの概念が…

2026年3月21日