「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

ShimCache (AppCompatCache) のデータ構造において、各エントリに含まれる「Insert Flag」が「1」である場合、それが示唆する可能性が高い事実はどれか。

NTFSの$LogFileにおけるトランザクション操作コードのうち、ファイルの作成を示すものはどれか。

USBストレージデバイスがシステムから取り外された日時を特定するために、レジストリやイベントログ以外で、デバイスごとの最終書き込み日時を確認すべきレジストリキーはどれか。

データ隠蔽手法の一つで、ファイルの「Zone.Identifier」などの代替データストリーム（ADS）を削除し、Webからのダウンロード痕跡（Mark of the Web）を消去する行為を何と呼ぶか。

ハイバネーションファイル（hiberfil.sys）を解析用に変換または圧縮解除するために使用されるVolatilityのプラグインやツール機能はどれか。

マルウェアが「Image File Execution Options (IFEO)」キーを悪用して、特定のセキュリティソフト起動時にデバッガとして自身のコードを実行させる手法は何と呼ばれるか。

LNKファイルに含まれる「Droid Volume Identifier」は何のために使用されるか。

Chromeの「SNSS (Session Saver)」形式のファイル（Session_XやTabs_X）を解析することで得られる、通常の履歴ファイルにはない情報はどれか。

Windows 10/11の「Timeline」機能のアクティビティには、ユーザーがどのデバイスで操作を行ったかを示す情報が含まれるが、これを識別するIDは何と呼ばれるか。

イベントログサービスが予期せず停止したことを示すイベントID 1100（セキュリティログ）が記録された場合、どのようなリスクが示唆されるか。