HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

「Egghunter」と呼ばれるシェルコードの役割はどれか。

小さな脆弱性から侵入し、あらかじめメモリに送り込んでおいた本来の攻撃コードをタグを頼りに探し当てる。

2026年3月21日

システム時間を取得し、前回の実行時と比較して「デバッグによる遅延」を調べるAPIはどれか。

実行開始時と終了時のティックカウントを比較し、差が大きすぎる場合に解析中と判断する。

2026年3月21日

「API Hammering」と呼ばれる手法の目的はどれか。

意味のないAPI呼び出しを数万回繰り返すことで、解析システムの監視ログを溢れさせたり時間稼ぎをする。

2026年3月21日

Volatilityでネットワーク接続情報を取得する際、Windows 10以降で推奨されるプラグインはどれか。

netstatプラグインは、ネットワーク活動に関連する構造体をスキャンして表示する。

2026年3月21日

PEファイルの「SectionAlignment」が「0x1000」の場合、メモリ上でのセクション開始位置はどうなるか。

0x1000は4KBであり、Windowsの標準的なメモリページサイズに合わせたアライメントである。

2026年3月21日

プロセス内で作成されたすべてのスレッドが共有するものはどれか。

スレッドは個別のスタックを持つが、同じプロセスのメモリ（コード、データ、ヒープ）は共有する。

2026年3月21日

「String Encryption」を解除するために動的解析で行う一般的な手法はどれか。

実行時にメモリ上で復号された直後の平文データをキャプチャするのが最も効率的である。

2026年3月21日

「VirtualAlloc」の引数で、メモリを「PAGE_NOACCESS」に設定してガードページを作る目的はどれか。

解析者がメモリを読み書きしようとした瞬間に例外を発生させ、解析を中断または検知する。

2026年3月21日

Androidの「Native Library (.so)」の解析に使用する主なコマンドセットはどれか。

.soファイルはC/C++で書かれたネイティブコードであり、通常ARM形式のアセンブリを解析する。

2026年3月21日

「Hooking」の検知において、関数の先頭数バイトを確認して「0xE9」が含まれている場合、何を示唆するか。

0xE9はJMP命令のオペコードであり、別の場所に処理が飛ばされていることを示す。

2026年3月21日