HOME
Lv014

「Lv014」の記事一覧

攻撃者が認証情報を盗むために、lsass.exeプロセスからメモリダンプを取得する際に頻繁に使用されるツールはどれか。

Mimikatzは、メモリ内のlsass.exeからプレーンテキストのパスワードやNTLMハッシュを抽出する機能を持つ。

2026年3月7日

証拠保全用イメージファイルの形式として、圧縮やメタデータ保持をサポートする標準的なものはどれか。

E01（EnCase形式）は、データの圧縮、MD5/SHA1ハッシュ、ケース情報の埋め込みをサポートしている。

2026年3月7日

iOSの「iTunesバックアップ」を解析する際、ファイル名がハッシュ化されている場合に参照するインデックスファイルはどれか。

Manifest.dbはSQLite形式で、ハッシュ化されたファイル名と元のファイルパスの対応関係を保持している。

2026年3月7日

マルウェアが「IAT（Import Address Table）」を書き換えて、API呼び出しを自身のコードに誘導する手法はどれか。

IAT内の関数ポインタを不正なアドレスに書き換えることで、特定のAPIの挙動を乗っ取ることができる。

2026年3月7日

「MountedDevices」キーを解析することで紐付けられる2つの情報はどれか。

システムにマウントされたボリュームの識別情報と、割り当てられたドライブレターの対応関係が記録されて…

2026年3月7日

「HTTP 200 OK」を返しつつ、ボディサイズが極端に小さい通信が一定間隔で続く場合に疑われるものはどれか。

マルウェアがC2サーバーに生存確認を行うビーコニング通信は、定期的かつ短尺な通信が特徴である。

2026年3月7日

Windowsレジストリの「RunMRU」キーに記録されているデータはどれか。

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRUに、実行したコマンド履歴が残る。

2026年3月7日

Volatilityで特定のプロセスが所有する「ミューテックス（Mutex）」を表示するコマンドはどれか。

handlesコマンドを使用し、タイプが「Mutant」のハンドルをフィルタリングすることで特定できる。

2026年3月7日

NTFSの「$I30」インデックス属性を調査することで判明する可能性のある情報はどれか。

ディレクトリのインデックス（$I30）には、ファイルが削除された後も名残が残っていることがある。

2026年3月7日

Windows 10の「ActivitiesCache.db」に保存されている、アプリの実行期間を示す値はどれか。

EndTimeとStartTimeの差分を計算することで、特定のアプリを何秒間使用していたか特定できる。

2026年3月7日