HOME
Lv028

「Lv028」の記事一覧

「Pass-the-Hash (PtH)」攻撃を防ぐために、Windowsで導入された保護機能はどれか。

仮想化ベースのセキュリティを利用して、lsass.exeから認証情報を保護する仕組み。

2026年3月7日

物理メモリ（RAM）を取得する際に、OSに負荷をかけずに外部デバイスから直接読み取る手法を何と呼ぶか。

FireWireやThunderboltなどのDMA機能を利用し、OSの機能を使わずにメモリをコピーする。

2026年3月7日

iOSの「KnowledgeC.db」において、アプリが「バックグラウンド」で動いていたか「フォアグラウンド」だったかを確認する列名はどれか。

ユーザーが実際に画面を見て操作していたか、裏で動いていたかを区別できる。

2026年3月7日

「MUICache」レジストリキーを調査して得られる情報の種類はどれか。

実行されたプログラムのexe名に対応する表示名が保存されており、実行履歴の補完に役立つ。

2026年3月7日

Windows 10の「Timeline」機能（ActivitiesCache.db）からわかることはどれか。

アプリケーションがフォアグラウンドにあった正確な時間を算出し、活動内容を裏付けることができる。

2026年3月7日

マルウェアがOSの「APIフック」を検知するために、関数の先頭数バイトをチェックする動作を何と呼ぶか。

セキュリティ製品が挿入したJMP命令やINT 3命令がないかを確認し、監視を逃れようとする。

2026年3月7日

NTFSの「$ATTRIBUTE_LIST」属性が必要になる条件はどれか。

多数の断片（フラグメンテーション）がある場合、追加のMFTレコードを使用して情報を保持する。

2026年3月7日

「Beaconing」通信の周期性を特定するために有効な分析手法はどれか。

一定の間隔（例：5分おき）で発生する通信パターンを視覚化することでC2通信を特定する。

2026年3月7日

「Event ID 4624」の「Logon Type 10」が示すログオンの形式はどれか。

GUIを介したリモートアクセスの証拠となり、送信元IPアドレスも記録される。

2026年3月7日

Volatilityで、プロセスが「隠しDLL」をロードしていないか確認するコマンドはどれか。

PEBのリストとメモリ上の走査結果を比較し、リストから隠されたDLLを特定する。

2026年3月7日