HOME
SANS GIAC GCFE (Forensic Examiner)

「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

WindowsのAmcache.hveファイルに関連する説明として、正しいものはどれか。

Amcache.hveはアプリケーション体験サービスによって使用され、実行ファイルのSHA-1ハッシュやパス情報を…

2026年3月21日

最後にログオンしたユーザー名を保持しているレジストリ値が含まれるキーはどれか。

通常、LogonUIキー配下のLastLoggedOnUserなどの値に、最後にシステムにログオンしたユーザーのアカウント…

2026年3月21日

メモリフォレンジックにおいて、稼働中のシステムの物理メモリ（RAM）の内容をファイルとして取得したものを何と呼ぶか。

Memory Dumpは、揮発性メモリの内容をキャプチャしたもので、実行中のプロセスやネットワーク接続情報を含…

2026年3月21日

電子メールヘッダにおいて、メールが送信者から受信者に届くまでに経由したメールサーバーのIPアドレスや日時を記録するフィールドはどれか。

Receivedヘッダは、メールが通過した各MTA（Mail Transfer Agent）によって追記され、配送経路の追跡に使…

2026年3月21日

ユーザーが「ファイル名を指定して実行」ダイアログに入力したコマンドの履歴を保持しているレジストリキーはどれか。

RunMRUキーは、「ファイル名を指定して実行」ボックスに入力されたコマンドのリストと順序を保持する。

2026年3月21日

Firefoxブラウザにおいて、閲覧履歴やブックマーク情報を管理しているデータベースファイルはどれか。

Firefoxはplaces.sqliteというSQLiteデータベースを使用して、履歴とブックマークを一元管理している。

2026年3月21日

Windows 10において、過去30日間のアプリケーション使用状況やネットワーク接続状況を記録しているデータベースはどれか。

SRUM (System Resource Usage Monitor) はSRUDB.datに保存され、アプリケーションごとのリソース消費やネ…

2026年3月21日

USBデバイスが初めて接続された日時を特定するために、setupapi.dev.logファイル内で検索すべきキーワードはどれか。

setupapi.dev.log内の「Section start」エントリは、デバイスドライバのインストールプロセス開始を示し、…

2026年3月21日

NTFSの$MFTにおいて、削除されたファイルのデータが上書きされずに残っている領域や、ファイルの末尾とクラスタ境界の間の未使用領域を何と呼ぶか。

Slack Space（特にRAM SlackやFile Slack）は、割り当てられたクラスタ内でファイルデータが使用していな…

2026年3月21日

システムの時刻変更を検出するために調査すべきWindowsセキュリティイベントログのIDはどれか。

イベントID 4616は、システム時刻が変更された際に、変更前と変更後の時間を記録する。

2026年3月21日