HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

マルウェアが自身のファイル名を「sample.exe」から「svchost.exe」に変更して実行する手法を何と呼ぶか。

正規のシステムプロセス名に似せることで、タスクマネージャー等を見るユーザーの目を欺く。

2026年3月21日

プロセスの優先度クラスを取得・設定するAPIはどれか。

マルウェアがバックグラウンドで隠密に動作するために優先度を下げる、あるいは解析を妨害するために上げ…

2026年3月21日

「GhostWriting」と呼ばれる手法において、コードを注入する際にAPI（WriteProcessMemory等）を使わない理由はどれか。

既存のスレッドのレジスタを操作し、ターゲットプロセス内の既存命令を利用して自己書き換えを行わせる。

2026年3月21日

「COM Surrogate (dllhost.exe)」を利用して不正なDLLをロードさせる手法に関連するレジストリ値はどれか。

正規のdllhostプロセスに自身のDLLをホストさせることで、セキュリティソフトの監視を回避しようとする。

2026年3月21日

「Process Hollowing」の解析中、メモリから抜き出した実行ファイルを修復する際に最も重要な調整はどれか。

メモリ上の配置（仮想サイズ）とファイル上の配置（物理サイズ）の違いを修正しないと、静的に動作しない。

2026年3月21日

x64において、引数が5つ以上ある場合、5番目以降の引数はどのように渡されるか。

最初の4つはレジスタ（RCX, RDX, R8, R9）で、それ以降は右から左の順でスタックに積まれる。

2026年3月21日

「Code Virtualization」において、バイトコードを解釈する「VM Handler」がスタックベースで動作する場合の利点はどれか。

レジスタの割り当てを気にする必要がなく、複雑なロジックを独自命令に変換しやすい。

2026年3月21日

PDFファイル内に隠されたバイナリデータ（ストリーム）を展開するために使われるフィルタ名はどれか。

zlib/deflateアルゴリズムによる圧縮であり、マルウェアのペイロードを隠すために多用される。

2026年3月21日

マルウェアが「Tor」ネットワークをC2通信に利用する主な理由はどれか。

オニオンルーティングにより、通信の終着点であるサーバーの物理的な場所の特定を困難にする。

2026年3月21日

「NtQueryObject」を使用して、「DebugObject」型のハンドルが存在するか確認する手法の目的はどれか。

デバッグセッションが存在する場合、特定のカーネルオブジェクトが作成されることを利用して検知する。

2026年3月21日