「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

マルウェアが永続性を確保するために利用する「Winlogon」キー内の特定のエントリで、通常は「explorer.exe」が設定されている値はどれか。

Windows 10において、デフォルトでNTFSの「Last Access Time（最終アクセス日時）」の更新が無効化されている主な理由はどれか。

Windowsイベントログが消去されたことを示すイベントID（セキュリティログ）はどれか。

タイムゾーンの設定情報（Bias、StandardNameなど）が格納されているレジストリキーはどれか。

BitLockerで暗号化されたドライブを保全する際、復号キーや回復パスワードが入手できない場合に、暗号化解除状態でデータを取得できる可能性がある唯一の方法はどれか。

Webブラウザの「プライベートブラウジングモード」または「シークレットモード」を使用した場合の痕跡について、正しい記述はどれか。

Windowsのエクスプローラで開いたファイルの履歴を保存する「RecentDocs」レジストリキーにおいて、拡張子ごとにグループ化されたサブキーに加え、全ての履歴を順序付けて管理するサブキーはどれか。

特定のユーザーが特定のUSBデバイスを接続したことを証明するために、ユーザーごとのNTUSER.DAT内で確認すべきレジストリキーはどれか。

外部からRDP（リモートデスクトップ）接続が行われた際、ログオンタイプとして記録される番号はどれか。

NTFSの代替データストリーム（ADS）を確認するために、コマンドプロンプトで使用できるコマンドオプションはどれか。