HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

「CMP EAX, EBX / SETB AL」が実行された際、ALが1になる条件はどれか（符号なし）。

SETB（Set if Below）は、CF=1（第1オペランドが小さい）の場合に1をセットする。

2026年3月21日

「Reflective DLL Injection」において、DLL側で実装が必要な独自の関数はどれか。

Windows標準のローダーを使わずに、メモリ上で自分自身をロードするためのロジックを指す。

2026年3月21日

プロセスの仮想メモリの保護属性を変更するために使用するAPIはどれか。

コードを書き込むために「読み取り専用」領域を「書き込み可能」に変更する際などに使われる。

2026年3月21日

「Process Hollowing」において、ターゲットプロセスを起動する際に指定すべきフラグはどれか。

プロセスを中断状態で起動し、中身を入れ替える準備をするために必要である。

2026年3月21日

「Stack Canary」の役割はどれか。

関数のプロローグでスタックに値を置き、エピローグでその値が不変かを確認することで改ざんを検知する。

2026年3月21日

「PEB (Process Environment Block)」内の「Ldr」フィールドが指している構造体はどれか。

ロードされているモジュールのリスト情報を管理するための構造体を指す。

2026年3月21日

Volatility 3で特定のプロセスが所有するミューテックスを列挙するコマンドはどれか。

ミューテックスはハンドルの一種として管理されているため、handlesプラグインで確認できる。

2026年3月21日

「Fast Flux」DNSの目的はどれか。

1つのドメイン名に対して多数のボットのIPを高速に切り替えて割り当てる手法である。

2026年3月21日

「ProcessDebugFlags」を「NtQueryInformationProcess」で確認した際、非デバッグ時の値はどれか。

デバッグ中であれば0が返るが、デバッグ中でなければ1が返されるのが通常である。

2026年3月21日

PEファイルの「Optional Header」に含まれる「AddressOfEntryPoint」は何を指すか。

イメージがロードされた後、最初に実行される命令の相対仮想アドレスを示す。

2026年3月21日