「Lv015」の記事一覧

Windows 8以降で導入された「RecentApps」レジストリキーは、どのユーザーインターフェース機能に関連しているか。

ファイルシステムレベルのアンチフォレンジック手法として、MFTレコード内の$STANDARD_INFORMATION属性のタイムスタンプのみを変更し、$FILE_NAME属性のタイムスタンプを変更し忘れるミスを突く検出手法は何と呼ばれるか。

LNKファイルの構造解析において、リンク先のパスがUNCパス（ネットワーク共有）である場合、「Network Provider」情報が含まれる構造体はどれか。

Webメール（Gmailなど）の利用痕跡を調査する際、ブラウザのキャッシュや履歴以外で、添付ファイルの内容が一時的に保存される可能性がある場所はどこか。

NTFSにおいて、ファイルサイズが非常に大きく、属性リストが複数のMFTレコードにまたがる場合に使用される、ベースレコード以外の拡張MFTレコードを何と呼ぶか。

プライベートブラウジング（Incognito）モードの痕跡をメモリダンプから調査する際、URLやページタイトルなどの文字列と共に検出される可能性が高い特徴的な構造はどれか。

USBデバイスが接続された際に、システムがそのデバイス固有の情報を取得できなかった場合、レジストリキーの「Properties」サブキー内に記録されるタイムスタンプはどうなるか。

実行ファイルごとの互換性設定を保存している「AppCompatFlags」キーにおいて、ユーザーが手動で「管理者として実行」を設定した場合に記録される値はどれか。

PowerShellのScript Block Logging（イベントID 4104）において、ログサイズを削減するためにスクリプトが分割記録される場合、各ブロックを再構築するために必要な情報はどれか。

Windows 10 1809以降で導入された「BAM (Background Activity Moderator)」と類似の機能を持ち、デスクトップアプリの実行を追跡する「DAM」は何の略か。