HOME
Lv026

「Lv026」の記事一覧

Androidの「fstab」において、「fileencryption=ice」と記載されている場合に意味するのはどれか。

デバイスがFBEを使用しており、かつハードウェア加速された暗号化を利用していることを示す。

2026年3月7日

「Indicator of Compromise (IOC)」に含まれる情報の代表例はどれか。

侵入の痕跡を特定するための具体的な指標であり、他のシステムでの検知に活用される。

2026年3月7日

証拠保全用イメージファイルにおいて、「スパース（Sparse）イメージ」とはどのような特徴を持つか。

未割り当て領域でもゼロで埋められた部分は保存しないため、ストレージ効率が良い。

2026年3月7日

「TypedURLs」レジストリ内のURLが、ブラウザ履歴とは別にフォレンジック的に価値がある理由はどれか。

ブラウザのリンクをクリックしたのではなく、アドレスバーにURLを打ち込んだ履歴が残る。

2026年3月7日

Windowsの「Recycle.bin」内の「$R」で始まるファイルの役割はどれか。

削除された際、元のファイル名は$Iファイルに記録され、実体は$R[ランダムな文字列]に変更される。

2026年3月7日

マルウェアがC2サーバーからの命令を「画像データの中に隠して」受け取る手法を何と呼ぶか。

通信路で命令を平文で見せないように、一見無害な画像ファイルにデータを埋め込む。

2026年3月7日

NTFSにおいて、ファイルの「作成日時」よりも「アクセス日時」が古くなっている場合の原因として考えられるのはどれか。

通常のOS操作では作成日時より前のアクセスは発生しないため、Timestompingの強力な証拠となる。

2026年3月7日

「HTTP POST」リクエストのボディ部分を調査する主な目的はどれか。

SQLインジェクションのペイロードや、情報漏洩時のデータ内容そのものが含まれている。

2026年3月7日

「Event ID 4648」が示す意味はどれか。

別のユーザー権限でプログラムを実行しようとした形跡であり、権限昇格の調査に役立つ。

2026年3月7日

Volatilityで、プロセスがロードしているDLLの中で「ディスク上のファイルとハッシュが一致しない」ものを特定する主な目的はどれか。

メモリ上に展開されたコードが、正規のファイルとは異なる（不正なコードが追加された）ことを特定できる。

2026年3月7日