HOME
SANS GIAC GCFE (Forensic Examiner)

「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

ネットワーク経由で共有フォルダなどにアクセスした際に記録される、ログオンタイプ3を示すイベントID 4624のログオンタイプ名はどれか。

ログオンタイプ3は「Network」であり、ファイル共有やIIS接続など、ネットワーク経由での認証が行われたこ…

2026年3月21日

ファイルの日時情報を意図的に改ざんし、実際の操作日時を隠蔽する行為を指す用語はどれか。

Timestompingは、MACE（Modified, Accessed, Created, Entry Modified）タイムスタンプを改変して、フォレ…

2026年3月21日

Windowsのごみ箱（Recycle Bin）にある「$I」ファイルに含まれる情報はどれか。

$Iファイルはインデックスファイルであり、削除されたファイルの元のフルパスと削除された日時、およびフ…

2026年3月21日

SAMハイブにおいて、ユーザーアカウントのRID（相対識別子）やログイン回数、パスワードリセット日時などのF構造体を含むキーの場所はどれか。

SAM\Domains\Account\Users キー配下には各ユーザーのRIDに対応するサブキーが存在し、その中のF値やV値に…

2026年3月21日

Windowsシステムが接続したワイヤレスネットワークのSSID、暗号化方式、接続日時などの履歴を確認できるWLAN-AutoConfigのイベントログのファイル名はどれか。

WLAN-AutoConfig%4Operational.evtxには、無線LAN接続の成功・失敗、SSIDなどの詳細な履歴が記録される。

2026年3月21日

Windows 10のタイムライン機能（アクティビティ履歴）を構成するSQLiteデータベースファイルはどれか。

ActivitiesCache.dbはConnected Devices Platformの一部として、ユーザーのアクティビティ履歴（タイムラ…

2026年3月21日

HSTS (HTTP Strict Transport Security) の情報を保持しており、ユーザーが特定のドメインにアクセスしたことを示す痕跡となり得るChromeのファイルはどれか。

TransportSecurityファイルにはHSTSの設定情報が保存されており、HTTPS接続を強制されたドメインのリスト…

2026年3月21日

USBデバイスの「初回接続日時」をレジストリから特定することは困難であるが、それに最も近い日時として代用されることが多い、レジストリキーの最終書き込み日時を持つキーはどれか。

USBデバイスのインスタンスIDキー（Enum\USB配下）のLast Write Timeは、通常ドライバインストール完了時…

2026年3月21日

Windows Searchインデックスのデータベースファイルであり、ファイル名やコンテンツ、メタデータを検索用に格納しているファイルはどれか。

Windows.edbはWindows Searchサービスによって作成されるESEデータベースで、インデックス化されたファイ…

2026年3月21日

NTFSのジャーナリング機能の一部であり、ファイルシステムへの変更履歴（トランザクション）を記録して、障害時の復旧に使用されるメタデータファイルはどれか。

$LogFileはNTFSのトランザクションログを保持し、システムクラッシュ後の整合性回復に使用されるため、直…

2026年3月21日