HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

システム上のすべてのオープンハンドルを列挙するために使用するAPIはどれか。

システム全体のハンドルテーブルをスキャンし、他のプロセスが掴んでいるファイルやミューテックスを特定…

2026年3月21日

「VirtualBox」のゲストOS内で「PCIデバイスID」を確認した際、ベンダーID「0x80EE」は何を指すか。

特定のベンダーIDをチェックすることで、動作環境が仮想化されているかを判断する。

2026年3月21日

「Propagate Injection」において、どのウィンドウプロパティを書き換えてコードを実行するか。

既存のウィンドウのサブクラス化情報を操作し、メッセージループを利用して不正コードを呼び出させる。

2026年3月21日

「Process Hollowing」において、ターゲットのベースアドレスが異なる場合に行う必要がある処理はどれか。

メモリ上の展開先がイメージベースと異なる場合、ポインタのアドレスを補正しなければならない。

2026年3月21日

「WMI Event Consumer」の種類のうち、任意のコマンドを実行するために使われるものはどれか。

特定の条件（OS起動など）に合わせてマルウェアのパスを起動させるために使用される。

2026年3月21日

「LdrpHashTable」をスキャンすることで特定できる情報はどれか。

リンクリストが改ざんされていても、ハッシュテーブルを直接見ることで隠蔽されたDLLを発見できる。

2026年3月21日

PEファイルの「Debug Directory」に存在する「PDBパス」を解析するメリットはどれか。

開発時のフォルダパスが含まれていることがあり、OSのユーザー名などの帰属性を特定するヒントになる。

2026年3月21日

「Format String Bug」において、メモリの値を書き換えるために使用されるフォーマット指定子はどれか。

%nは、それまでに出力された文字数を引数の指すメモリアドレスに書き込むため、攻撃に悪用される。

2026年3月21日

Volatilityで「EPROCESS」構造体からスレッド情報を辿り、各スレッドの開始アドレスを確認するコマンドはどれか。

インジェクションされたコードがどこから実行を開始しているかを特定するために重要である。

2026年3月21日

「PCMPEQB XMM1, XMM2」命令の動作はどれか。

SIMDを用いた並列比較命令であり、マルウェアの文字列比較の高速化や難読化解除に使われる。

2026年3月21日