HOME
Lv011

「Lv011」の記事一覧

「Live Response（ライブレスポンス）」において最初に行うべきアクションはどれか。

証拠の揮発性を考慮し、まずメモリやネットワーク接続などの消失しやすい情報を収集する。

2026年3月7日

SSDにおける「ガベージコレクション」がフォレンジック調査に与える悪影響はどれか。

OSが介在しないバックグラウンドでのデータ整理により、削除された証拠が永久に失われる可能性がある。

2026年3月7日

SQLiteデータベース内の「Free List」を調査することで期待できる結果はどれか。

Free List（空きリスト）には、新しいデータで上書きされる前の削除されたデータが残っている場合がある。

2026年3月7日

「RecentDocs」レジストリキーを調査して得られる情報はどれか。

RecentDocsは、ユーザーがエクスプローラーを介して開いたファイルの履歴を拡張子ごとに整理して保持する。

2026年3月7日

Windowsの「LNKファイル」に記録されている、ソースメディアのシリアル番号を確認する目的はどれか。

LNKファイルには保存されていたボリュームのシリアル番号が含まれており、どのUSBにファイルがあったか特…

2026年3月7日

プログラムのフローを分岐させ、デバッガを検知すると異なる動作をさせる技術はどれか。

アンチデバッグ技術により、解析環境では悪意のある振る舞いを見せないように制御される。

2026年3月7日

NTFSの「$LogFile」の主な役割はどれか。

$LogFileは、ファイルシステムのメタデータに対する変更操作を記録し、障害発生時の整合性を保つ。

2026年3月7日

大量のICMPパケットを使用してデータを外部に送信する手法はどれか。

ICMPトンネリングは、ペイロード部分に任意のデータを埋め込み、ファイアウォールを回避して通信する。

2026年3月7日

Volatility 3において、Linuxのメモリイメージを解析するために必要なシンボル情報の形式はどれか。

Volatility 3では、従来のプロファイルに代わり、JSON形式の中間シンボルファイルが使用される。

2026年3月7日

Prefetchファイル（.pf）のファイル名に含まれる8桁の16進数は何を意味するか。

このハッシュ値は実行ファイルのパスに基づき、同じ名前でも異なる場所にあるファイルを区別する。

2026年3月7日