「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

ジャンプリスト（Jump Lists）のうち、アプリケーションが独自に管理・作成するファイル形式で、構造がOLECF（Compound File）であるものはどれか。

USBデバイス切断時に削除される「揮発性」のレジストリキーであり、現在接続中のデバイスのみを表示するキーはどれか。

NTFSのタイムスタンプにおいて、ファイルを同じボリューム内の別のフォルダに移動（Move）した場合、「作成日時（Creation Time）」はどうなるか。

RAID 5構成のサーバーからフォレンジックイメージを取得する際、1台のディスクが物理的に破損しており読み取れない場合でも、論理的なデータを復元してイメージングできる理由はどれか。

Windows 10の「ActivitiesCache.db」において、各アクティビティの「ETag」値が重要視される理由は何か。

NTFSの$MFTレコードにおいて、属性ヘッダの「Non-resident flag」が「1」の場合、その属性データはどこにあるか。

レジストリの「SAM」ハイブがロックされていてアクセスできない場合、稼働中のシステムからパスワードハッシュをダンプするために、メモリ内のLSASSプロセスに対して行う攻撃手法はどれか。

Chromiumブラウザの「HSTS (HTTP Strict Transport Security)」設定情報は、バイナリ形式ではなくJSONや専用形式で保存されるが、これによりフォレンジック調査官は何を知ることができるか。

WLAN-AutoConfigイベントログにおいて、イベントID 8000系列と11000系列の違いは主に何か。

Windows 10の「SRUDB.dat」（SRUM）において、アプリケーションがプッシュ通知を受け取った際のデータ使用量を記録しているテーブルはどれか。