「Lv010」の記事一覧

USBデバイス切断時に削除される「揮発性」のレジストリキーであり、現在接続中のデバイスのみを表示するキーはどれか。

RAID 5構成のサーバーからフォレンジックイメージを取得する際、1台のディスクが物理的に破損しており読み取れない場合でも、論理的なデータを復元してイメージングできる理由はどれか。

Windows 10の「ActivitiesCache.db」において、各アクティビティの「ETag」値が重要視される理由は何か。

NTFSの$MFTレコードにおいて、属性ヘッダの「Non-resident flag」が「1」の場合、その属性データはどこにあるか。

Chromiumブラウザの「HSTS (HTTP Strict Transport Security)」設定情報は、バイナリ形式ではなくJSONや専用形式で保存されるが、これによりフォレンジック調査官は何を知ることができるか。

レジストリの「SAM」ハイブがロックされていてアクセスできない場合、稼働中のシステムからパスワードハッシュをダンプするために、メモリ内のLSASSプロセスに対して行う攻撃手法はどれか。

WLAN-AutoConfigイベントログにおいて、イベントID 8000系列と11000系列の違いは主に何か。

Windows 10の「SRUDB.dat」（SRUM）において、アプリケーションがプッシュ通知を受け取った際のデータ使用量を記録しているテーブルはどれか。

ShimCache (AppCompatCache) のデータ構造において、各エントリに含まれる「Insert Flag」が「1」である場合、それが示唆する可能性が高い事実はどれか。

NTFSの$LogFileにおけるトランザクション操作コードのうち、ファイルの作成を示すものはどれか。