HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

2026年3月21日

2026年3月21日

2026年3月21日

「Process Mockingjay」と呼ばれる手法において、注入先として狙われるメモリ領域の特徴はどれか。

最初からRWX権限を持つセクションを持つ古いDLLなどを利用し、VirtualProtectを呼ばずにコードを配置する。

2026年3月21日

シェルコードが「Kernel32.dll」のアドレスを特定するために「PEB.Ldr」のどのリストを辿ることが一般的か。

メモリ上にロードされている順序でモジュールを管理するリストを利用して探索する。

2026年3月21日

マルウェアが「セッション0分離」を回避してユーザーのデスクトップにプロセスを表示させるために使うAPIはどれか。

異なるセッションやユーザーコンテキストでプロセスを起動するために不可欠なAPIである。

2026年3月21日

「Return-Oriented Programming (ROP)」を防御するためのWindowsの機能はどれか。

間接呼び出しのターゲットを検証することで、不正なガジェットへのジャンプを抑制する。

2026年3月21日

PE32形式において、FS:[0x30]が指し示している構造体はどれか。

スレッド環境ブロック（TEB）のオフセット0x30には、プロセス環境ブロック（PEB）へのポインタがある。

2026年3月21日

「POPFD」命令は何を行うか。

フラグレジスタの状態を復元するために使われ、難読化コードでフラグを操作する際に多用される。

2026年3月21日

Volatilityでメモリ上の特定のプロセスから「Strings」情報を抽出するメリットはどれか。

ディスク上のファイルがパッキングされていても、メモリ上では展開されているため重要な文字列が見えやす…

2026年3月21日