HOME
Lv024

「Lv024」の記事一覧

「SDelete」などのセキュア削除ツールを使用した痕跡をファイルシステムから検出する際、特徴的なファイル名の変更パターンとして代表的なものはどれか。

SDeleteはデータを上書きした後、ファイル名をランダムな文字列に変更してから削除するため、$MFT内に不自…

2026年3月21日

「OpenSavePidlMRU」レジストリキーを調査することで判明する情報はどれか。

このキーには、標準のコモンダイアログを通じて操作されたファイルの履歴が、拡張子ごとおよび全体（*）で…

2026年3月21日

Gmailをブラウザで使用した際、メモリダンプ内に残る「gmail-chat-messages」のようなタグを含むデータは、どのような形式であることが多いか。

モダンなWebメールはAPI通信にJSON形式を多用するため、メモリ上には構造化されたJSONオブジェクトの形で…

2026年3月21日

SRUMデータベース（SRUDB.dat）を解析する際、アプリの実行時間を正確に把握するために「Energy Usage」テーブルと併用すべきテーブルはどれか。

Energy Usageは電力消費を記録するが、App Timelineはアプリのフォアグラウンド/バックグラウンドの持続時…

2026年3月21日

Windows 10の「StorageDevicePolicies」レジストリキーにおいて、USB書き込み禁止を強制するために設定される値はどれか。

HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect を「1」に設定すると、OSレ…

2026年3月21日

NTFSにおいて、ファイルが圧縮されているか、あるいはスパースファイル（Sparse File）であるかを示すフラグが含まれる属性はどれか。

圧縮やスパース属性のフラグは、$SI属性のフラグフィールドと、$DATA属性のランリスト構造の両方に影響を…

2026年3月21日

Windowsイベントログの「EVTX」形式において、各レコードの整合性を保つために使用されるハッシュアルゴリズムはどれか。

EVTXファイルは、破損や改ざんを検出するために、チャンクごとにCRC-32チェックサムを保持している。

2026年3月21日

ブラウザが保持する「Favicons」データベースを調査することで得られる、フォレンジック上のメリットはどれか。

履歴データベースとは別にFavicons DBが存在する場合、削除された履歴に関連するサイトのアイコンが残って…

2026年3月21日

「ShellBags」の解析において、特定のフォルダがネットワーク共有（UNCパス）上にあるか、ローカルドライブ上にあるかを判断するために参照する「NodeSlot」とは何か。

NodeSlot値は、BagMRUの階層構造とBagsキー内の具体的な表示設定（ウィンドウ位置等）を紐付けるためのポ…

2026年3月21日

Amcache.hveの「Root\File」キー配下のサブキー名は、どのような形式で命名されているか。

Amcacheの各エントリは、追跡を容易にするためにファイルパスやボリュームIDに基づくハッシュ値のような一…

2026年3月21日