HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

「Stack Canaries」をバイパスするために攻撃者が狙う、例外処理に関連する構造体はどれか。

カナリアがチェックされる前に例外を発生させ、書き換えたSEHハンドラに制御を移す手法がある。

2026年3月21日

プロセスが「ASLR」の影響を受けずにロードされているかを判断するためにチェックするPEヘッダのフラグはどれか。

このフラグがオフの場合、そのバイナリは常に同じ固定アドレスにロードされる。

2026年3月21日

「Image File Execution Options (IFEO)」で「GlobalFlag」を設定する目的はどれか。

Silent Process Exit機能などを悪用し、特定のアプリが終了した際にマルウェアを起動させる。

2026年3月21日

「Thread Continue Injection」において、既存スレッドを乗っ取るために操作する主要な構造体はどれか。

スレッドのレジスタ（EIP/RIPなど）を書き換えることで、実行フローを自身のペイロードへ向ける。

2026年3月21日

「KPROCESS」構造体と「EPROCESS」構造体の関係はどれか。

カーネルが管理するプロセスの基本情報がKPROCESSであり、その拡張版がEPROCESSである。

2026年3月21日

デバッガで「Software Breakpoint」を大量に配置すると、マルウェア側で何を検知される可能性があるか。

0xCCへの書き換えはハッシュ値を変えるため、自己チェック機能を持つマルウェアに解析を悟られる。

2026年3月21日

マルウェアが「Port 443」を使用して「HTTP」通信を行う（HTTPSではない）主な理由はどれか。

プロトコルの不一致を利用して、IDS/IPSを混乱させる手法の一つである。

2026年3月21日

「Control Flow Flattening」において、基本ブロックの順序をランダム化するために使われる変数はどれか。

ディスパッチャがこの変数を参照して、次にどのブロックへ飛ばすかを制御する。

2026年3月21日

「MOVNTI [EDI], EAX」命令の「NT」は何を意味するか。

キャッシュを介さずメモリに直接書き込むことで、解析ツールによるメモリ監視の一部を回避しようとするこ…

2026年3月21日

Androidの「classes.dex」を「dex2jar」で変換した後に使用するJavaデコンパイラはどれか。

Javaのクラスファイルを読みやすいソースコード形式で表示するために使われる。

2026年3月21日