HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

プロセス間でウィンドウメッセージを介してコードを実行させるために使われるAPIはどれか。

ウィンドウプロシージャのアドレスを上書き（サブクラス化）し、メッセージ送信時に不正コードを動かす。

2026年3月21日

「BT (Bit Test)」命令の実行結果はどこに反映されるか。

BT命令は、指定されたビットの値をキャリーフラグにコピーする。

2026年3月21日

「Process Hollowing」を静的に検知するための不自然な特徴はどれか。

メモリ上で書き換えられたエントリポイントが、元のPEファイルの設定と乖離している場合に検出可能。

2026年3月21日

「Reflective DLL Injection」の最大の特徴はどれか。

DLL自体に独自のローダー機能を組み込み、LoadLibraryを使わずにメモリ上で自己展開する手法である。

2026年3月21日

「Heap Allocations」を追跡して、不自然に大きなメモリ確保を検知する目的はどれか。

大量のメモリを確保してNOPスレッドやペイロードを埋める挙動は、脆弱性攻撃の前兆となる。

2026年3月21日

ユーザーモードのデバッガがブレークポイントに到達した際、OSが発行する例外コードはどれか。

INT 3命令が実行されると、システムはこの例外を発生させてデバッガに通知する。

2026年3月21日

マルウェアが「DGA」で生成するドメイン名のシード（種）としてよく使われるものはどれか。

日付をシードにすることで、攻撃者とマルウェアが特定の日に同じドメインを算出・利用できるようにする。

2026年3月21日

PEファイルの「Machine」フィールドに「0x8664」が設定されている場合、どのアーキテクチャ用か。

0x8664はx64（64ビット）アーキテクチャの実行ファイルであることを示す。

2026年3月21日

プロセスの環境変数を読み取るために使用されるAPIはどれか。

マルウェアは環境変数をチェックして、解析環境や特定のユーザー名であるかを確認することがある。

2026年3月21日

「Junk Code」の挿入において、逆アセンブラが誤った命令として解釈してしまう原因となるデータはどれか。

決して実行されないパスに偽の命令バイトを置くことで、線形スイープ型逆アセンブラを混乱させる。

2026年3月21日