HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

プロセスが「ASLR」が有効な環境で、自身の絶対アドレスを取得するために使用する手法はどれか。

このAPIの戻り値は、プロセスイメージがロードされたベースアドレスそのものである。

2026年3月21日

「Control Flow Flattening」において、次に実行するコードブロックを決定する中央の構造はどれか。

ディスパッチャが状態変数の値をチェックし、次に実行すべき基本ブロックへ分岐させる。

2026年3月21日

「PUSHAD」命令がスタックに保存するレジスタの数はいくつか。

EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDIの8つの汎用レジスタを一度に保存する。

2026年3月21日

「Object Manager」を介してハンドルを管理するWindowsカーネルの主要コンポーネントはどれか。

Executive層がプロセッサ、メモリ、オブジェクトなどのリソース管理を一手に引き受けている。

2026年3月21日

「Module Overwriting」インジェクションの手法は何を上書きするか。

ロードされている正規のDLLのコード領域を不正なコードで上書きし、実行フローを奪う手法である。

2026年3月21日

「IFEO (Image File Execution Options)」を悪用して別のプログラムを起動させる手法で使われる値はどれか。

特定の実行ファイルが起動される際、Debugger値に指定したプログラムが代わりに（または先に）起動する。

2026年3月21日

「Position Independent Code (PIC)」を実現するために、x64で導入された参照方式はどれか。

命令ポインタ（RIP）からの相対的な距離でデータにアクセスするため、メモリ上のどこでも動作可能になる。

2026年3月21日

Volatilityで「IDT (Interrupt Descriptor Table)」の変更をチェックする目的はどれか。

キーボード入力やシステムコールの割り込みを奪取するルートキットの挙動を特定する。

2026年3月21日

PEファイルの「Debug Directory」に格納される「RSDS」シグネチャは何を示すか。

デバッグ情報が含まれるPDB（Program Database）ファイルへのリンク情報を保持している。

2026年3月21日

「Waitable Timer」を悪用した解析妨害の手法は何を目的としているか。

長い待機時間を設定し、解析システムが「Sleep」をスキップ（加速）させたことを検知して動作を止める。

2026年3月21日