HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

「In」命令を用いてI/Oポート「0x5658 (VX)」を読み取ることで検知できる仮想化ソフトはどれか。

VMwareの「バックドアポート」と呼ばれる特定のI/Oポート通信を利用した検知手法である。

2026年3月21日

「CMP EAX, EBX / SETA AL」が実行された際、ALが1になる条件はどれか（符号なし）。

SETA（Set if Above）は、CF=0かつZF=0（符号なし比較で第1オペランドが大きい）の場合に1をセットする。

2026年3月21日

WMI（Windows Management Instrumentation）を利用した持続性確保において、イベント発生時に実行される要素はどれか。

Event Consumer（特にCommandLineEventConsumer）が、条件合致時に実行される不正なペイロードを定義する。

2026年3月21日

「SEH Chain」の最後にあるデフォルトの例外ハンドラは何を指しているか。

SEHはリスト構造になっており、最後は常にシステムのデフォルトハンドラ（通常はプロセス終了処理）に繋が…

2026年3月21日

「XADD EAX, EBX」命令の動作はどれか。

XADD（Exchange and Add）は、交換と加算をアトミックに行う命令である。

2026年3月21日

「LDR_DATA_TABLE_ENTRY」構造体から得られる情報はどれか。

PEBから辿れるこの構造体には、プロセスにロードされたDLLのリストが保持されている。

2026年3月21日

シェルコードがヌルバイト（0x00）を避ける理由はどれか。

strcpyなどの関数は0x00を終端と見なすため、ペイロードが途中で切れるのを防ぐ必要がある。

2026年3月21日

「API Hooking」において、関数の先頭をジャンプ命令に書き換える手法を何と呼ぶか。

関数のプロローグを直接書き換えて自前の関数へ飛ばす手法をインラインフックと呼ぶ。

2026年3月21日

Volatility 3で特定のプロセスから実行ファイルを抽出（ダンプ）するコマンドはどれか。

procdumpプラグインは、メモリ上の実行イメージを再構成してファイルとして出力する。

2026年3月21日

PEファイルの「TLS (Thread Local Storage) Directory」が悪用される主な理由はどれか。

TLSコールバック関数は、プログラムのメインエントリポイント（AddressOfEntryPoint）が呼ばれる前に実行…

2026年3月21日