Windowsのごみ箱では、削除されたファイルは$Rファイルの2つに分離して保存。$Rファイルは元のファイル内容を保持し、$Iファイルには元のパス、削除日時、ファイルサイズなどの情報が記録。両者は共通の識別子を持ち、セットで解析することで削除されたファイルの内容と削除時の状況を特定できる。

$Jは NTFS のメタデータファイル$UsnJrnl に存在する名前付きデータストリームであり、ファイルシステムの変更履歴（USN Record）を保存するログ。ファイルやフォルダの作成、削除、名前変更、データ書き込みなどのイベントが発生時に記録され、ファイル操作の履歴を追跡するために利用される。

UserAssistはMicrosoft Windowsのレジストリ情報で、ユーザーが実行したプログラムの履歴を記録する。値名はROT13で難読化されており、解析時に復号することで実行ファイル名やパスを特定できる。 主な用途： ・最近実行されたアプリの管理 ・スタートメニューの使用頻度 ・アプリの起動回数の記録

RDPビットマップキャッシュの解析 ①攻撃者がRDPセッション中にターゲットシステム上で行った行動を画像データで確認 ②RDP接続元（クライアント側・横展開元）の痕跡 解析ツールとして、BMC-Toolsnew windowとRdpCacheStitcherがある キャッシュを復元することで画面イメージから痕跡を調べる

Follina vulnerabilityの特徴として、oleObjectのTargetMode=ExternalによりWordが外部URLを自動取得し、末尾!でHTMLアンカーをトリガーする Word はHTMLを MSHTML (IEエンジン) で読み込み、 HTML内の ms-msdt スキームが実行され、コード実行につながる

JWTのSecretが弱いと、攻撃者がSecretを特定して署名を再生成できる 結果として権限などを改ざんしたJWTを作成でき、なりすましや権限昇格などの不正アクセスの危険 JWTを認証トークンとして使うシステム=stateless認証の場合はsecretをセキュアにすることや、有効期限の設定が重要

手動カービングは、WinHexでヘッダー（マジックナンバー）とフッター（トレイラー）のバイナリ範囲を指定し、抽出・保存する手法がある。ただし、ファイルシステム上でデータが不連続（断片化）な場合、単純な範囲指定では壊れたファイルが抽出されるため、各クラスタの連結順序の特定が必要。

FortiGateの脆弱性悪用を防ぐには、WANインターフェースのset allowaccess設定を確認する。特に、HTTP/HTTPS/SSHを許可すると管理画面や管理通信がインターネットに公開され、不正ログインや脆弱性攻撃のリスクが高まるため、原則無効化し管理ネットワークからのアクセスのみに制限する。

sqlmapはSLEEP(n)を含むサブクエリへランダムaliasを付け、MySQL構文成立とWAFの固定シグネチャ回避を図ってtime-based SQLiを試行する。防御側はaccessログ中のSLEEP、BENCHMARK、pg_sleep、WAITFOR DELAYやURLエンコードされた同等文字列と、前後の時刻差による約n秒の応答遅延を照合して検知する。

DCSync は Active Directory の正規レプリケーション RPCを悪用し、ドメコンになりすまして GetNCChanges を要求することで、対象アカウントの NTLM hash や Kerberos key を取得。Domain Admin 権限は不要で、Replication 関連 ACLが付与されていれば成立。典型例として Mimikatz の lsadump::dcsync

SNI偽装は、TLS開始前に平文で送られる接続先名（SNI）を trusted domain（例: cloudflare-dns.com）に見せかけ、FW/IDSの許可判定をすり抜ける手法。 一方でHTTPS側は、証明書検証ロジックを操作すると「IP接続＋別名証明書」でも警告なく成立する場合があり、C2通信を正規通信に埋もれさせる。

AssumeRole悪用は、侵害済みIAM/EC2権限から別Roleへ昇格し、一時認証情報で横展開・永続化する手法。信頼ポリシー（trust policy）の許可範囲が広すぎると、不要なRoleへ AssumeRole可能となり権限昇格が発生する。特に Principalの過剰許可や permission policyにおける sts:AssumeRole * が危険。

JS難読化では、文字列を配列化し、インデックス参照関数経由で取得する手法がよく使われる。これは自動難読化ツールで生成されることが多く、解析・検知回避を目的とする。巨大な文字列配列、16進数インデックス、配列回転ループが典型的特徴。

CISSPの試験パスした！ udemyの演習問題だけで何とかなりました！

組織が拡大するほど、アクセス権限の管理がガバナンスの生命線になる。 個人情報を扱う場合、全員が全データを見られる状態は漏洩リスクを高めるだけじゃない。 M&Aの際に管理体制の不備として指摘される要因にもなる。

LNK起動のHTA等がTypeLibのwin64キーへscriptモニカーでSCTを登録。COM解決時にscrobj.dll経由でSCTを正規プロセス上で実行させるTypeLib Hijacking手法です。DLL不要で検知を回避しつつ、正規プロセスの権限とメモリ空間を借りてスクリプトを実行可能です。

sudoやsu以外でeuidが1001から0へ遷移するのは権限昇格攻撃の直接的証拠。AuditログからUIDの切り替わりを検知し、当該PIDの前後でEXECVE等のコマンドライン引数を確認すれば、悪用された脆弱性や攻撃フローの特定が可能。不審なバイナリ実行が伴う場合は特に有力な証拠となりえる。