HOME
Lv021

「Lv021」の記事一覧

Androidの「patterngraph」ファイルから復元できる情報の種類はどれか。

ロック画面のパターンのハッシュと突き合わせることで、具体的ななぞり方を特定できる。

2026年3月7日

「デジタルフォレンジックの5原則（ACPO等）」において、証拠を直接操作してはならないとされている原則の目的はどれか。

元の証拠に変更を加えると、法廷でその証拠の価値が認められなくなる可能性がある。

2026年3月7日

仮想マシンのスナップショット（.vmsn等）を解析する際、メモリダンプ（.vmem）も同時に取得すべき理由はどれか。

メモリファイルがあれば、仮想マシンが動作していたその瞬間のプロセスや通信状態をVolatility等で解析で…

2026年3月7日

「AppInit_DLLs」レジストリキーを調査する際の懸念事項はどれか。

このキーに登録されたDLLは、User32.dllをロードするすべてのプロセスに強制的に読み込まれる。

2026年3月7日

Windowsの「LNKファイル」に記録されている「MACアドレス」情報の由来はどれか。

ネットワーク経由でショートカットが作成された場合、対象サーバーのMACアドレスが含まれることがある。

2026年3月7日

マルウェアがサンドボックス環境を検知するために「マウスの移動距離」を監視する手法を何と呼ぶか。

自動解析環境ではマウス移動が発生しない、あるいは不自然であるため、それを検知して動作を停止する。

2026年3月7日

NTFSにおいて、1つのファイルに複数のデータストリームを関連付ける属性名はどれか。

メインのデータ以外に、名前付きの$DATA属性（ADS）を作成することでデータを隠蔽できる。

2026年3月7日

「HTTP 204 No Content」レスポンスが、C2通信において攻撃者にとって有利に働く理由はどれか。

応答ボディが空であるため、ビーコニング（命令の有無の確認）としてステルス性を保つのに利用される。

2026年3月7日

「Event ID 4698」が示すWindowsセキュリティイベントの内容はどれか。

攻撃者が永続化（Persistence）のために不審なタスクを登録した形跡を特定できる。

2026年3月7日

Volatilityで、特定のプロセスに関連付けられた「SID（Security Identifier）」を調査し、実行ユーザーの所属グループを特定するコマンドはどれか。

特定のプロセスがローカル管理者グループ（Builtin\Administrators）に属しているかなどを確認できる。

2026年3月7日