HOME
Lv029

「Lv029」の記事一覧

Androidの「fstab」で「encryptable=footer」とある場合、暗号化キーはどこに保存されているか。

フルディスク暗号化（FDE）において、パーティションの末尾にメタデータが置かれていることを示す。

2026年3月7日

「真正性（Authenticity）」を証明するために、デジタルフォレンジックにおいて最も重要視される技術的な仕組みはどれか。

ハッシュ値が一致することで、収集時から現在まで証拠が1ビットも改変されていないことを客観的に証明でき…

2026年3月7日

「AppCompactFlags\PersistedCategories」からわかる「最後に実行されたアプリ」の情報の正確性は他のアーティファクトと比べてどうか。

単体ではなく複数のアーティファクトを統合してタイムラインの信頼性を高めるのがフォレンジックの基本で…

2026年3月7日

証拠保全中に「ハッシュ値」を計算する際、イメージファイルの作成と同時に計算する手法を何と呼ぶか。

データの読み取りと同時にハッシュを生成することで、保全プロセス全体の整合性を効率的に保証できる。

2026年3月7日

Windows 10の「SRUM」で「Network Usage」を確認し、特定のアプリが「バックグラウンド」で通信していたか判断するための指標はどれか。

ForegroundDurationが0でありながら通信が発生している場合、バックグラウンドでの動作と判断できる。

2026年3月7日

マルウェアが「APC注入」を実行する際に使用する、スレッドを待機状態にするための典型的なAPIはどれか。

SleepExなどでスレッドがアラート可能状態（alertable state）になった瞬間に注入されたコードが実行され…

2026年3月7日

「HTTP 401 Unauthorized」が同じIPから短時間に大量発生している場合に疑われるのはどれか。

認証が必要なページに対して、異なるパスワードでの試行が繰り返されていることを示している。

2026年3月7日

Volatilityで、特定のプロセスが「どのDLL」をインジェクションされているか、VADとリストを比較して特定するコマンドはどれか。

ロードされているDLLのリストとメモリ上の実際のマップを照合し、不一致から隠しDLLを特定する。

2026年3月7日

NTFSの「$I30」属性において、削除されたファイルの「ファイルサイズ」が残っている場合がある理由はどれか。

ディレクトリインデックス内の古いエントリが上書きされるまで残るため、メタデータの一部を復元できる可…

2026年3月7日

「Event ID 4624」のログオンタイプ「4」が意味するセッションの種類はどれか。

スケジュールされたタスクなどのバッチジョブとして実行されたログオンを示している。

2026年3月7日