法医学専門家のデリックは、さまざまなプロセスを実行しているアクティブなコンピューターを調査していました。デリックは、以前に発生したインシデントでこのシステムが使用されたかどうかを確認したいと考えていました。彼は、インシデントの署名を特定するために、RAM、キャッシュ、DLL の内容の検査と収集を開始しました。上記のシナリオで Derrick が使用したデータ取得方法を特定します。

ジョンは会社のポリシーとガイドラインの作成に取り組んでいます。彼が現在取り組んでいるセクションは、会社の文書をカバーしています。どのように扱われ、保管され、最終的には破棄されるべきか。ジョンは、古い文書が破棄されるプロセスを懸念しています。ジョンは文書を破棄する際に使用するガイドラインにどのような種類のシュレッダーを書けばよいですか?

疑わしいドライブのビットストリーム コピーを少なくとも何枚作成する必要がありますか?

エドガーは、FBI の法医学メディアおよびマルウェア分析チームの一員です。彼は現在のマルウェアを分析しており、疑わしいシステム、ネットワーク、およびその他の接続されたデバイスの徹底的な検査を実施しています。Edgar のアプローチは、マルウェア コードを実行して、マルウェア コードがホスト システムとどのように相互作用するか、およびマルウェア コードがホスト システムに及ぼす影響を知ることです。彼は仮想マシンとサンドボックス環境も使用しています。
Edgar はどのような種類のマルウェア分析を実行していますか?

国防総省 (DoD) のネットワークをパッシブ スキャンした後、アクティブ スキャンに切り替えて、ネットワーク上のライブ ホストを特定します。国防総省は大規模な組織であるため、あらゆるスキャンに対応する必要があります。ICMP ping スイープを開始するには、IP パケットをブロードキャスト アドレスに送信します。ICMP ping に応答するホストは 5 つだけです。予想していたホストの数ではありません。この ping スイープで数件の応答しか返されなかったのはなぜですか?