HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

「Control Flow Graph (CFG)」を意図的に破壊し、デコンパイラをクラッシュさせる手法はどれか。

高水準言語への変換ロジックが想定しない不正なバイト列や再帰構造を挿入して解析を妨害する。

2026年3月21日

「SetLastError」と「OutputDebugString」を組み合わせた検知手法は何を確認しているか。

デバッガが存在しない場合、OutputDebugStringはエラーコードを変更する可能性があることを利用する。

2026年3月21日

PEファイルの「Export Address Table (EAT)」が「Forwarder RVA」を持つ場合、どういう意味か。

呼び出された関数が実際には別のライブラリ（NTDLLの関数がKernel32で公開されている場合など）にあること…

2026年3月21日

指定したプロセスのハンドルを取得する際、フルアクセス権限を要求するフラグはどれか。

PROCESS_ALL_ACCESSは対象プロセスに対して可能なすべてのアクセス権限を要求する。

2026年3月21日

「Sandbox Escape」技術の一つで、共有フォルダを経由してホストOSを攻撃する手法はどれか。

仮想環境のホスト・ゲスト間の共有機能の不備を突き、制限を超えてホスト側へ干渉する。

2026年3月21日

PDFマルウェアにおいて、JavaScriptを自動実行させるために使われるキーワードはどれか。

ドキュメントが開かれた際に指定されたアクション（スクリプト実行等）を自動的に起動させる。

2026年3月21日

「API Obfuscation」で、関数名を直接書かずにハッシュ値で管理する手法を何と呼ぶか。

バイナリ内に「GetProcAddress」とハッシュ値だけを持ち、実行時に関数を特定することで静的解析を逃れる。

2026年3月21日

「KUSER_SHARED_DATA」領域の読み取りが行われる主な理由はどれか。

ユーザーモードから、システム時刻やバージョン情報などに高速にアクセスするために用意された固定アドレ…

2026年3月21日

「CPUID」を実行後、ベンダー名が「GenuineIntel」の場合、EBX, EDX, ECXに格納される値はどれか。

CPUID（EAX=0）を実行すると、レジスタにまたがって「Genu」「ineI」「ntel」の文字が格納される。

2026年3月21日

Volatilityで「SSDT (System Service Descriptor Table)」のフックを検出するプラグインはどれか。

カーネルモードでシステムコールがフックされている箇所（ルートキットの兆候）を特定する。

2026年3月21日