HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

プロセスが「UAC（ユーザーアカウント制御）」をバイパスするために悪用する、自動昇格属性を持つインターフェースはどれか。

COMインターフェースの一部には高い権限で自動的に動作するものがあり、これを利用して権限昇格を図る。

2026年3月21日

「FindWindow」で「OLLYDBG」というクラス名が見つかった場合、マルウェアはどう反応すべきか。

デバッガの存在を検知したため、解析を避けるために終了または偽の挙動を見せる。

2026年3月21日

「Process Herpaderping」において、実行中にディスク上のファイルを書き換えることで何を回避するか。

ディスク上のイメージとメモリ上のイメージを一致させないことで、シグネチャベースの検知を回避する。

2026年3月21日

「Netsh Helper DLL」を利用した持続性確保において、登録されるレジストリパスはどれか。

netshコマンドが実行されるたびに、登録された任意のDLLがロードされる仕組みを悪用する。

2026年3月21日

Windowsの「Job Object」をマルウェア解析に使用する利点はどれか。

解析対象が作成するすべての子プロセスを一つのグループとして管理し、制御下に置くことができる。

2026年3月21日

「APIログ」の解析において、同じAPIが短時間に数千回呼び出されている場合に疑われる手法はどれか。

サンドボックスの解析時間を浪費させる、あるいは動作ログを膨大にして解析を困難にする手法である。

2026年3月21日

「Heap Overflow」を解析する際、上書きされることで制御奪取に繋がる「メタデータ」とは何か。

フリーリストのポインタを書き換えることで、任意のメモリ書き込み（Exploit）を可能にする。

2026年3月21日

PEファイルの「Data Directory」の第1エントリ（インデックス0）に格納されている情報はどれか。

エクスポートテーブルのアドレスとサイズが最初に定義されている。

2026年3月21日

Volatilityでメモリ内のパスワードハッシュを抽出する際、どのレジストリハイブのダンプが必要か。

SAMにはユーザーアカウント情報があり、SYSTEMにはそれを復号するためのキー（syskey）が含まれている。

2026年3月21日

「UD2」命令の役割はどれか。

デバッガや解析ツールがこの命令に遭遇した際の例外処理の挙動を利用して、解析を妨害するために使われる。

2026年3月21日