HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

「SCASW」命令が比較に使用するレジスタはどれか。

SCASW（Scan String Word）は、AXレジスタの値とES:EDIが指すメモリの内容を比較する。

2026年3月21日

「Early Bird Injection」と呼ばれる手法が注入に使用するタイミングはどれか。

プロセス作成直後のサスペンド状態でAPCをキューイングし、ResumeThread時に最初に実行させる手法である。

2026年3月21日

指定したプロセスの親プロセスIDを変更（偽装）するために使用される属性リストのフラグはどれか。

CreateProcessの引数でこの属性を使用すると、解析ツール上のプロセスツリー表示を欺くことができる。

2026年3月21日

「Hooking」の検知において、NTDLL関数の先頭が「MOV EAX, ID; syscall」ではなく「JMP アドレス」になっている場合、何を意味するか。

EDRやデバッガ、あるいは他のマルウェアが関数の挙動を監視するために介入していることを示す。

2026年3月21日

「Shortcut (.lnk) Hijacking」の手法において、書き換えられる項目はどれか。

正規プログラムの代わりにマルウェアを起動し、その後に正規プログラムを起動させるようパスを変更する。

2026年3月21日

「ROPガジェット」を探索する際、機械語レベルで探すべき共通の終端バイトはどれか（x86）。

0xC3は「RET」命令のオペコードであり、ガジェットの終端として機能する。

2026年3月21日

「ALPC (Advanced Local Procedure Call)」が主に使用される目的はどれか。

Windows内部で、クライアントプロセスとサーバープロセス間で高速にメッセージをやり取りするために使われ…

2026年3月21日

Volatilityでプロセスがネットワーク待機（LISTENING）しているポートを確認するプラグインはどれか。

netscanはメモリ上のネットワーク構造体をスキャンし、すべてのステータスの接続情報を表示する。

2026年3月21日

PEファイルの「Export Table」において、関数名ではなく番号でエクスポートする方式を何と呼ぶか。

関数名を持たないため、静的解析でインポート関数から機能を推測されるのを防ぐ効果がある。

2026年3月21日

「BlockInput」関数を悪用するマルウェアに対し、解析者が取るべき対策はどれか。

Windowsのセキュリティ仕様により、Ctrl+Alt+DelはBlockInputによる制限を受けない。

2026年3月21日