HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

「SYSENTER」命令が実行された後、制御が移るカーネル内の共通エントリポイントはどれか。

高速システムコールにおいて、ユーザーモードからカーネルモードへ遷移した直後の処理を担う。

2026年3月21日

「Process Ghosting」において、マルウェアがファイルを削除した後にプロセスを作成できる理由はどれか。

ファイルがディスクから消えていても、開いているハンドルがあればそのイメージをプロセスとして起動でき…

2026年3月21日

特定のアドレス範囲のメモリ保護属性や状態を調査するAPIはどれか。

解析対象プロセスのメモリが「実行可能」か「書き込み可能」かなどを調べるために使われる。

2026年3月21日

デバッガで実行中に「Zero Flag (ZF)」を手動で反転させる主な目的はどれか。

JZやJNZなどの分岐条件を操作し、マルウェアの隠された機能を露出させる。

2026年3月21日

「WMI Event Subscription」を用いた持続性確保において、実行条件を定義するオブジェクトはどれか。

特定のログオン、時間、プロセス起動などの条件を監視するためのクエリを保持する。

2026年3月21日

「Dead Code Insertion」が行われたプログラムを解析する際に有効な手法はどれか。

実行結果に寄与しないコード（デッドコード）を論理的に特定し、無視することで本質的なロジックを抽出す…

2026年3月21日

「KPCR (Kernel Processor Control Region)」構造体にアクセスするために使用されるセグメントレジスタ（x86）はどれか。

x86のカーネルモードではFSレジスタが現在のプロセッサ制御領域を指している。

2026年3月21日

.NETバイナリの難読化ツール「ConfuserEx」などが使用する、メソッドの中身を実行時に展開する手法を何と呼ぶか。

コンパイルされたコードを隠し、JITコンパイルの直前にメモリ上で復元して実行させる。

2026年3月21日

HTTPトラフィックにおいて、User-Agentヘッダを「Mozilla/5.0」に偽装するマルウェアの目的はどれか。

不自然な通信ログを残さないよう、一般的なWeb閲覧に見せかける。

2026年3月21日

「VirtualBox」を検知するためにチェックされる典型的なレジストリパスに含まれる文字列はどれか。

HARDWARE\Description\System 等の下にあるビデオBIOSやデバイス名からVBoxの文字列を探す。

2026年3月21日