「Lv032」の記事一覧

FAT32ファイルシステムのディレクトリエントリにおいて、そのエントリが「削除済み」であることを示すために、ファイル名の先頭バイト（オフセット0）に書き込まれる値はどれか。

BitLockerで暗号化されたボリュームがマウントされている状態で、物理メモリ（RAM）ダンプから抽出を試みるべきものは何か。

Androidデバイスにおいて、ユーザーが起動したアプリの履歴や使用時間、最終使用日時などが記録されるXMLファイルはどれか。

クラウド環境での証拠収集において、物理的なストレージデバイスを押収する代わりに、管理画面やAPI経由で論理データを取得する際、証拠の正当性を担保するために重要な文書は何か。

NTFSにおいて、ファイルの `$STANDARD_INFORMATION` 属性のタイムスタンプのみが変更され、`$FILE_NAME` 属性のタイムスタンプが古いままの場合、何が疑われるか。

AWS GuardDutyが検出する脅威タイプのうち、「EC2インスタンスが既知のビットコインマイニングプールと通信している」ことを示すものはどれか。

SQLiteデータベースにおいて、メインのDBファイルへの書き込み前に変更内容が追記され、ロールバックやクラッシュリカバリに使用されるファイルはどれか。

SSL/TLSハンドシェイクのClient Helloパケットに含まれるバージョン、暗号スイート、拡張機能のリストからハッシュ値を生成し、クライアントアプリケーションを指紋特定する技術はどれか。

Linuxシステムにおいて、物理メモリ全体へのアクセを提供し、稼働中のシステムからメモリイメージを取得するために使用される特殊ファイルはどれか。

WMI（Windows Management Instrumentation）を用いた永続化攻撃において、イベント発生時に実行される具体的なアクション（スクリプトやコマンド）を定義するコンポーネントはどれか。