HOME
SANS GIAC GCFE (Forensic Examiner)

「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

NTFSにおいて、ファイルが断片化（フラグメンテーション）している場合や、属性リストがMFTレコードに収まらない場合に使用される属性はどれか。

$ATTRIBUTE_LIST属性は、ファイルの属性が複数のMFTレコードにまたがる場合に、それらの場所を管理するた…

2026年3月21日

LNKファイル内に含まれる情報で、リンク先ファイルが存在するボリュームを一意に識別するために使用される値はどれか。

Volume Serial Numberは、フォーマット時にボリュームに割り当てられる一意の番号であり、LNKファイル内に…

2026年3月21日

WordやExcelなどのOfficeアプリケーションが、最近開いたファイルの履歴を保存するために使用するレジストリキーの名称に含まれる一般的な文字列はどれか。

Office製品はバージョンごとに固有のレジストリキー（例：Word\Security\Trusted Locations等やFile MRU）…

2026年3月21日

Windows 10のアクションセンターに表示された通知の履歴（トースト通知）を保存しているSQLiteデータベースはどれか。

wpndatabase.dbは、ユーザーのAppDataフォルダ内にあり、過去に表示された通知の内容や送信元アプリの情報…

2026年3月21日

ボリュームシャドウコピー（VSS）に関する情報を表示または管理するために使用されるWindows標準のコマンドラインツールはどれか。

vssadminコマンドを使用することで、存在するシャドウコピーの一覧、作成日時、およびシャドウコピーの保…

2026年3月21日

PowerShellの実行ログを詳細に取得するために有効化すべき機能で、難読化されたスクリプトの内容も平文で記録されるものはどれか。

Script Block Logging（イベントID 4104）を有効にすると、実行前にデコードされたスクリプトブロックの内…

2026年3月21日

Windowsの「既知のDLL（KnownDLLs）」レジストリキーを調査する主な目的はどれか。

KnownDLLsはシステムが優先的にロードするDLLのリストであり、攻撃者がここに不正なDLLを登録していないか…

2026年3月21日

Webブラウザのキャッシュ構造において、HTTPヘッダ情報（ETagやLast-Modifiedなど）が含まれ、Webサーバー上のリソースが更新されたかどうかの確認に使用されるデータはどれか。

キャッシュデータには、再取得の必要性を判断するためのHTTPレスポンスヘッダ情報が含まれており、フォレ…

2026年3月21日

USBデバイスのシリアルナンバーの2文字目に「&」が含まれている場合（例：3748&…）、それが意味する事実はどれか。

シリアルナンバー内の「&」は、OSがプラグアンドプレイ管理用に生成した識別子であることを示し、ハードウ…

2026年3月21日

NTFSのMFTレコードのサイズは通常何バイトか。

NTFSのMFTレコードサイズは通常1024バイトで固定されており、その中にファイル属性や小さなデータが格納さ…

2026年3月21日