HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

「LOCK」プレフィックスが付けられた命令の役割はどれか。

続く命令（INC, XCHG等）がアトミックに実行されることを保証し、メモリバスをロックする。

2026年3月21日

「Heaven’s Gate」を通過する際、セグメントレジスタ「CS」に設定される値（x64環境の32ビット動作時）はどれか。

0x33は64ビットコードセグメントを指し、これに切り替えることで64ビット命令の実行が可能になる。

2026年3月21日

プロセスが自分自身をデバッグ状態から切り離す（デタッチ）ために使用するAPIはどれか。

デバッグを終了し、ターゲットプロセスを通常実行に戻す際に使用される。

2026年3月21日

「SetWindowLongPtr」を用いたインジェクションにおいて、どのインデックスを書き換えて関数を奪取するか。

ウィンドウプロシージャのアドレスを自身のコードへ向けることで、メッセージ処理時に実行させる。

2026年3月21日

「Heapspray」において、スライディング（滑走）を助けるためにペイロードの前に配置される命令列を何と呼ぶか。

実行フローがどこに着地してもペイロードまで安全に到達させるための無操作命令の羅列である。

2026年3月21日

Volatilityでプロセスの「VAD（Virtual Address Descriptor）」の木構造をダンプするコマンドはどれか。

各メモリ領域の範囲、保護属性、マップされたファイルなどの詳細情報を取得できる。

2026年3月21日

マルウェアが「Doh (DNS over HTTPS)」を利用する主な利点はどれか。

標準的な53番ポートのDNS通信を使用しないため、ネットワークレベルのDNS検知をすり抜ける。

2026年3月21日

「EPROCESS」構造体に含まれる「ActiveProcessLinks」のデータ構造はどれか。

すべての実行中プロセスを繋ぐ双方向リストであり、ここから外れることでプロセス隠蔽が行われる。

2026年3月21日

PEファイルの「BaseReloc Table」が指し示すデータの最小単位はどれか。

再配置情報は通常、4KBのページごとのブロックとして管理されている。

2026年3月21日

「Mixed Boolean-Arithmetic (MBA)」難読化の目的はどれか。

x+y を (x^y)+2*(x&y) のように書き換え、静的解析ツールによる数式復元を困難にする。

2026年3月21日