HOME
Lv030

「Lv030」の記事一覧

証拠品を保管する「証拠保管庫」に求められる、物理的なアクセス管理以外の重要な要素はどれか。

デジタルメディアの劣化（磁気消失等）を防ぎ、証拠の完全性を長期にわたって維持するための環境が必要で…

2026年3月7日

BitLockerの「回復パスワード」が不明な場合、稼働中のPCから「FVEK（Full Volume Encryption Key）」を抽出するために必要な作業はどれか。

暗号を解除するための生キーは実行中のメモリ内に保持されているため、メモリ解析から抽出できる可能性が…

2026年3月7日

iOSの「sysdiagnose」ログに含まれる情報の価値はどれか。

OSの診断用ログには、通常の抽出では得られない実行中のプロセスや通信の詳細が含まれる。

2026年3月7日

「BagMRU」と「Bags」をセットで解析することで復元できる情報はどれか。

ShellBagsを構成するこれらのキーにより、ユーザーがいつどのフォルダにアクセスしたかの詳細が判明する。

2026年3月7日

Windowsの「Recent Items」にある「.LNK」ファイルをバイナリ解析し、ターゲットの「作成日時」を取得する意義はどれか。

LNKファイル内部のタイムスタンプとファイルシステム上のタイムスタンプを比較することで、移動やコピーの…

2026年3月7日

マルウェアが「DLLサイドローディング」を行うために、正規のexeと同じディレクトリに配置するDLLの名称はどうあるべきか。

OSがDLLを検索する際に、システムディレクトリより先にカレントディレクトリを探す仕様を悪用する。

2026年3月7日

NTFSの「$MFT」エントリにおいて、ファイルが削除された直後に「0x0001」から変更されるフラグの値はどれか。

フラグが「0x0000（未使用）」に変わることで、そのエントリは新しいファイルのために再利用可能となる。

2026年3月7日

「TLS 1.3」において、攻撃者が接続先のドメインを隠すために利用する「Encrypted Client Hello (ECH)」の影響はどれか。

ECH（旧ESNI）は接続先の秘匿性を高めるが、フォレンジック調査においては通信先の特定を困難にする。

2026年3月7日

「Event ID 4697」が記録された際に、解析者が最も警戒すべき攻撃手法はどれか。

システムに新しいサービスが追加されたことを示し、バックドアの設置によく悪用される。

2026年3月7日

Volatilityで、プロセスが「どのファイル」に対してハンドルを開いているかを特定し、不正なログ操作などを検知するコマンドはどれか。

タイプが「File」のハンドルをフィルタリングすることで、プロセスが現在操作中のファイルを特定できる。

2026年3月7日