「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

ユーザーがエクスプローラでフォルダを開いた際のウィンドウ位置や表示設定を記録する「ShellBags」アーティファクトにおいて、実際にフォルダ名やMFTエントリ情報を保持しているレジストリ値はどれか。

NTFSの「$UpCase」ファイルの主な役割はどれか。

exFATファイルシステムとNTFSの最大の違いとして、フォレンジック調査の観点から正しいものはどれか。

ハードディスク上の隠し領域であるHPA（Host Protected Area）やDCO（Device Configuration Overlay）を検出し、その中のデータも含めて保全できる機能を持つコマンドやツールはどれか。

OutlookのOST/PSTファイルが、Outlookが正常に終了せずに閉じられたことを示す状態を何と呼ぶか。

USBデバイスの「Friendly Name（デバイスの表示名）」を確認できるレジストリキーは、HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR配下のどのサブキーにあるか。

LNKファイル内に含まれる「Tracker Data Block」は、主にどのような目的で使用されるか。

管理者権限（Administrator）などの特権を持つアカウントがログオンした際に、イベントID 4624と共に記録される「特権の割り当て」を示すイベントIDはどれか。

Google Chromeのキャッシュ構造において、HTTPヘッダやメタデータではなく、実データ（画像やスクリプトの本体）が格納されるブロックファイルの名前は通常どうなっているか。

レジストリハイブの「Last Write Time（最終書き込み日時）」は、どの単位で記録されるか。