HOME
SANS GIAC GCFE (Forensic Examiner)

「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

「ShellBags」の解析において、特定のフォルダがネットワーク共有（UNCパス）上にあるか、ローカルドライブ上にあるかを判断するために参照する「NodeSlot」とは何か。

NodeSlot値は、BagMRUの階層構造とBagsキー内の具体的な表示設定（ウィンドウ位置等）を紐付けるためのポ…

2026年3月21日

Amcache.hveの「Root\File」キー配下のサブキー名は、どのような形式で命名されているか。

Amcacheの各エントリは、追跡を容易にするためにファイルパスやボリュームIDに基づくハッシュ値のような一…

2026年3月21日

SYSTEMハイブの「CurrentControlSet」は、実際にはどのキーへのシンボリックリンク（エイリアス）か。

CurrentControlSetは、Selectキーで「Current」に指定されているControlSet番号の実体を参照するためのリ…

2026年3月21日

ジャンプリストの解析において、ユーザーが特定のファイルを「いつも表示（Pinned）」に設定した際、その情報はどちらのリストに保存されるか。

ユーザーによる明示的なピン留め操作やアプリ独自のカテゴリ分けは、CustomDestinations-msに記録される。

2026年3月21日

フォレンジックコピーを取得する際、「物理イメージ（Physical Image）」と「論理イメージ（Logical Image）」の最大の違いは何か。

物理イメージはドライブ全体をセクタ単位でコピーするため、OSから見えない削除済みデータ（未割り当て領…

2026年3月21日

USBデバイスが接続された際に、「USBSTOR」ではなく「HID」や「USB」キーに登録されるデバイスの例はどれか。

マスストレージではないヒューマンインターフェースデバイス（HID）は、USBSTORではなくEnum\HIDなどの別…

2026年3月21日

Windows 10において、最後に接続された無線LANのSSIDをプレーンテキストで即座に確認できるレジストリ値はどこにあるか。

NetworkList\Signatures配下のサブキー名や値に、最後に使用されたネットワークのSSIDが含まれていること…

2026年3月21日

NTFSの$MFTにおいて、レコード内に全ての属性が収まっているファイルを何と呼ぶか。

メタデータとデータ本体のすべてが1024バイトのMFTレコード内に収まっている場合、そのファイルはResident…

2026年3月21日

Firefoxの「cookies.sqlite」において、特定のCookieがHTTP接続でのみ送信されるべきか、HTTPSが必要かを示すカラムはどれか。

isSecureカラムが「1」であれば、そのCookieは暗号化されたHTTPS接続でのみ送信される属性（Secure属性）…

2026年3月21日

アカウントのロックアウトが発生した際に、ロックアウトの原因となった（間違ったパスワードを入力した）端末のコンピュータ名を記録するイベントIDはどれか。

イベントID 4740はアカウントがロックされたことを示し、その詳細に呼び出し元コンピュータ名が含まれる。

2026年3月21日