HOME
Lv027

「Lv027」の記事一覧

攻撃者がドメイン内の「NTDS.dit」ファイルを盗み出そうとする最大の理由はどれか。

Active Directoryのデータベースファイルであり、これが漏洩すると全アカウントの侵害に直結する。

2026年3月7日

デジタルフォレンジックにおいて「作業用コピー（Working Copy）」を使用すべき理由はどれか。

すべての調査はオリジナルから作成したイメージ（またはそのコピー）に対して行うのが鉄則である。

2026年3月7日

Androidの「patterngraph」解析において、ドット「0」から「1」への移動は何を意味するか。

各ドットには番号（0-8）が割り振られており、その遷移を追うことでパターンの形状が判明する。

2026年3月7日

マルウェアが「Sleep」関数を呼び出して長時間待機する主な理由はどれか。

自動解析環境は短時間で解析を終えることが多いため、数時間の待機で解析を回避しようとする。

2026年3月7日

「MountedDevices」レジストリで、USBメモリの「親プレフィックス（ParentIdPrefix）」を特定する利点はどれか。

一意のシリアル番号を持たない安価なUSBでも、ParentIdPrefixで個別の識別が可能になる。

2026年3月7日

「ポート 445」への接続が急増しているログから疑われる活動はどれか。

SMBを利用して他のPCへ感染を広げようとする攻撃（EternalBlue等）によく見られる。

2026年3月7日

Windowsの「ShellBags」に保存されている情報の有効期限はどれか。

ユーザーが過去に開いたフォルダの表示設定が残るため、数年前のフォルダ閲覧履歴も特定できる。

2026年3月7日

Volatilityで、メモリ内のすべての「文字列（Strings）」を抽出するコマンドはどれか。

特定のIPアドレスやURL、C2命令などがメモリ上に存在するかを直接検索できる。

2026年3月7日

NTFSの「$I30」属性がバイナリ解析において重要な理由はどれか。

ディレクトリのインデックスデータには、削除されたファイルの名称が残骸として残ることがある。

2026年3月7日

「Event ID 4624」の「Logon Type 3」が示すログオンの形式はどれか。

攻撃者がSMBなどを通じて他のホストからアクセスしてきた形跡を特定できる。

2026年3月7日