2013-08-21 1.レジストリ内調査 基本的にはレジストリ内に保存されているMRUキーなどに保存されているファイル名やパスをまずは確認。ツールとしては定番のRegRipperを使う前提ですかね。 RegRipperはプラグインによりかなり色々な情報を収集できるので、この項目だけでマップを作成しておく方がよいかも? USBメモリのような外付けデバイスが使われていて、そこにファイルが存在した可能性も考えられるので、そういったデバイスの接続有無についても確認した方がよさそう。