HOME
SANS GIAC GCFE (Forensic Examiner)

「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

SAMハイブ内のユーザーアカウント情報において、パスワードハッシュ（NTハッシュ）が格納されている「V」値の構造には、ハッシュ以外に何が含まれているか。

「V」値には、ユーザー名、フルネーム、コメント、ホームディレクトリなどの可変長データと、それらを指す…

2026年3月21日

NTFSの$MFT自体が断片化した場合、その位置情報を記録しているファイルシステムメタデータファイルはどれか。

$Bootファイル（ブートセクタ）には、MFTの開始クラスタ番号が記述されているが、MFT自体が断片化している…

2026年3月21日

SSD（Solid State Drive）から証拠保全を行う際、データの完全性に影響を与える可能性があるSSD内部の自動処理機能はどれか。

Trimコマンドが有効な場合、OSが削除とマークしたデータブロックをSSDコントローラが物理的に消去するため…

2026年3月21日

SRUM（System Resource Usage Monitor）データベースの「Network Data Usage」テーブルで特定できる情報はどれか。

SRUMはアプリごとの通信量（バイト数）や使用したインターフェース（Wi-Fi/モバイル等）を記録するが、接…

2026年3月21日

OutlookのPSTファイルの内部構造において、メッセージやフォルダを管理するためのB-Tree構造の一部であり、データの格納場所を指し示す識別子はどれか。

PSTファイルはNID（Node ID）を使用して各メッセージやフォルダオブジェクトを一意に識別し、B-Tree構造内…

2026年3月21日

Windowsシステムが過去に接続したWi-Fiネットワークのパスワード（PSK）は、通常どのような状態で保存されているか。

Wi-FiプロファイルのXMLファイル内にあるパスワード（keyMaterial）は、WindowsのDPAPI（Data Protection …

2026年3月21日

Chromiumベースのブラウザ（Edge, Chrome）において、ダウンロードされたファイルのURL、保存先パス、ダウンロード開始・終了時刻を記録しているテーブル名はどれか。

Historyデータベース内の「downloads」テーブルには、ダウンロードに関連する主要なメタデータ（ソースURL…

2026年3月21日

Windowsのタイムゾーン設定において、「ActiveTimeBias」という値が表すものはどれか。

ActiveTimeBiasは、現在適用されているUTCとの時差を分単位で表したものであり、フォレンジックツールがタ…

2026年3月21日

外部デバイスの接続履歴調査において、「System」イベントログ以外に、ドライバのインストールプロセスを詳細に記録しているテキスト形式のログファイルはどれか。

setupapi.dev.log（Windows Vista以降）は、プラグアンドプレイデバイスのインストール開始から完了までの…

2026年3月21日

Prefetchファイルのヘッダ内には、前回実行時のパス情報のハッシュが含まれているが、このハッシュ生成に使用される要素は、パスのほかに何が含まれる場合があるか。

特にhostingアプリケーション（svchost.exeやmmc.exeなど）の場合、コマンドライン引数がハッシュ生成に含…

2026年3月21日