HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

「VirtualQuery」を用いて自身のメモリページの属性をチェックし、ブレークポイント（0xCC）を検知する手法を何と呼ぶか。

メモリ上の実行コードが書き換えられていないかを動的に検証して解析を妨害する。

2026年3月21日

「CMOVZ EAX, EBX」命令が実行される条件はどれか。

条件付きデータ転送命令であり、ゼロフラグが立っている場合にのみ値をコピーする。

2026年3月21日

PEファイルのセクション名「.reloc」は何を格納しているか。

バイナリが希望するアドレス以外にロードされた際に、アドレスを補正するための情報を保持する。

2026年3月21日

プロセスが「DLL読み込み順序の乗っ取り」を防ぐために使用するAPIはどれか。

検索パスをシステムディレクトリ等に限定することで、カレントディレクトリの不正DLL読み込みを防止する。

2026年3月21日

「TEB (Thread Information Block)」の先頭にある「ExceptionList」は何を指しているか。

例外処理の連鎖（SEH Chain）の起点となるアドレスが格納されている。

2026年3月21日

「API Hooking」において、インラインフック後に元の関数を呼び出すために保存しておくコード断片を何と呼ぶか。

書き換える前の数バイトを別の場所にコピーし、フック先から元の処理に戻れるようにしたコードを指す。

2026年3月21日

HTTPS通信の解析において、マルウェアが自身のバイナリに証明書を内包している手法を何と呼ぶか。

特定の証明書のみを信頼するように固定することで、中間者攻撃による解析を困難にする。

2026年3月21日

「Instruction Substitution」の例として、EAXを0にする命令「MOV EAX, 0」の代わりによく使われるものはどれか。

XOR演算は命令サイズが小さく、0クリアの標準的な手法として広く使われる。

2026年3月21日

Androidマルウェアの「AndroidManifest.xml」から得られる重要な情報はどれか。

アプリがどのような権限（SMS送信、位置情報取得等）を求めているかを確認できる。

2026年3月21日

「RDTSC」命令の実行結果を比較して、どのような場合にデバッグ中と判断するか。

デバッガによるステップ実行は時間がかかるため、前後で取得したサイクル数の差が閾値を超えると検知され…

2026年3月21日