HOME
SANS GIAC GCFE (Forensic Examiner)

「SANS GIAC GCFE (Forensic Examiner)」の記事一覧

「ShimCache」のレジストリデータにおいて、パス情報の区切り文字として使用される特有の形式はどれか。

ShimCache（SYSTEMハイブ）のバイナリデータ内では、各ファイルパスはNULL文字で区切られて連続して格納さ…

2026年3月21日

Windows 10において、特定のユニバーサルアプリ（UWP）の通知設定や履歴を管理しているレジストリキーはどれか。

PushNotificationsキーなどには、各アプリのトーン、バナー表示、通知の有効・無効状態がSIDごとに保存さ…

2026年3月21日

Linuxのファイルシステム（ext4等）において、Windowsの「作成日時」に相当するタイムスタンプ（btime）を取得するために必要な情報は何か。

Unix系では伝統的に作成日時を保持していなかったが、ext4などではi-node内の拡張領域にbtime（Birth time…

2026年3月21日

Windows 10の「ActivitiesCache.db」において、アクティビティがユーザーによって手動で削除されたことを示すステータスはどのカラムで確認できるか。

（ツールによるが）IsLocalOnlyや特定のフラグが変化することで、クラウド同期から外された（削除された）…

2026年3月21日

LNKファイルにおける「HotKey」フィールドが「0」以外の場合、それは何を意味するか。

HotKeyフィールドには、Ctrl+Alt+Tなどの特定のキーコンビネーションでアプリを起動するための設定が記録…

2026年3月21日

Outlookが使用する一時的な作業フォルダ（Secure Temp Folder）の場所を特定するために参照するレジストリ値の名前はどれか。

HKCU\Software\Microsoft\Office\[Version]\Outlook\Security配下のOutlookSecureTempFolderに、添付ファ…

2026年3月21日

EdgeやChromeの閲覧履歴を削除（Clear Browsing Data）した場合でも、訪問したドメインの痕跡が残る可能性があるWindowsのDNS関連キャッシュコマンドはどれか。

OSレベルのDNSリゾルバキャッシュには、ブラウザでアクセスしたドメインの解決結果が一定期間保持されてい…

2026年3月21日

特定のUSBデバイスが「D:」ドライブとしてマウントされた際のボリュームシリアル番号や名前を記録しているレジストリキーはどれか。

MountPoints2キーには、ユーザーがアクセスした各ボリュームごとの詳細なマウント履歴やラベルが保存され…

2026年3月21日

RDP接続において、セッションが明示的な「ログオフ」ではなく「切断（Disconnect）」されたことを示すイベントID（LocalSessionManagerログ）はどれか。

イベントID 24はセッションの切断、ID 21はセッションのリモートログオン、ID 23はセッションのログオフを…

2026年3月21日

NTFSの$STANDARD_INFORMATION属性において、ファイルに関連付けられているセキュリティ記述子（ACL）の識別番号を保持しているフィールドはどれか。

Security IDは、$Secureファイル内の実際のセキュリティデータ（$SDS）へのインデックスとして機能する。

2026年3月21日