「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

NTFSの$MFTレコードにおいて、属性の「長さ（Length）」や「名前（Name）」などの共通情報を含む、属性の先頭部分を何と呼ぶか。

ユーザーが特定のネットワーク共有（SMB）へアクセスした際に使用した資格情報が保存される可能性がある、LSA（Local Security Authority）に関連するレジストリパスはどこか。

Volatilityを使用して、特定のプロセスがオープンしているファイルハンドル（File Object）をリストアップするためのコマンドはどれか。

SAMハイブにおいて、アカウントが「無効（Disabled）」に設定されているかどうかを判断するために確認すべきバイナリデータ内のビット位置はどれか。

Outlookで「会話モード」を使用している場合、関連するメールをグループ化するために使用されるMAPIプロパティはどれか。

Windows 10の「Quick Access」で、最近使った「ファイル」のリスト（自動生成）を保持しているファイル名はどれか。

USBデバイスのベンダー名や製品名を特定するために、ベンダーID（VID）とプロダクトID（PID）を照合するオンラインデータベースの通称はどれか。

Windowsのイベントログファイル（.evtx）の先頭にある「ElfFile」シグネチャの直後に続く4バイトのデータは何か。

Chromeの「Sync Data」を調査することで、フォレンジック調査官が得られる可能性のある情報はどれか。

LNKファイル内の「Extra Data Blocks」セクションにある「ConsoleFEDataBlock」は何を保持しているか。