HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

プロセス間で共有メモリを作成するために、最初に呼び出すAPIはどれか。

共有メモリ（ファイルマッピングオブジェクト）を作成してデータを共有する準備を行う。

2026年3月21日

「AtomBombing」と呼ばれる手法が注入に利用するWindowsの仕組みはどれか。

アトムテーブルにコードを書き込み、APCを利用してターゲットに実行させる手法である。

2026年3月21日

「ThreadHideFromDebugger」フラグを「NtSetInformationThread」に設定した際の効果はどれか。

特定のプロセススレッドの活動をデバッガから隠蔽し、ブレークポイントなどを無効化する。

2026年3月21日

PEファイルの「CheckSum」フィールドが必須とされるファイルの形式はどれか。

ドライバやクリティカルなシステムDLLでは、ロード時にチェックサムの整合性確認が行われる。

2026年3月21日

システムコール番号が格納されるレジスタ（x64）はどれか。

SYSCALL命令を実行する際、RAXに呼び出したい関数の番号を指定する。

2026年3月21日

「LEAVE」命令が実行する一連の処理と等価なものはどれか。

LEAVE命令はスタックフレームを破棄し、呼び出し元のベースポインタを復元する。

2026年3月21日

「Process Hollowing」のステップにおいて、「UnmapViewOfSection」を使用する目的はどれか。

ターゲットのメモリ空間から正規の実行コードを削除し、不正なコードを書き込むスペースを作る。

2026年3月21日

「Fast Flux」技術において、頻繁に変更されるのはどれか。

1つのドメインに対して多数のIPを短時間で切り替えることで、C2サーバーの特定を困難にする。

2026年3月21日

「BlockInput」APIをマルウェアが使用する目的はどれか。

解析中にユーザーによる操作を一切受け付けなくすることで、デバッガの操作を妨害する。

2026年3月21日

Volatilityで「Malformed PE」を検出するために「malfind」がチェックする項目の組み合わせはどれか。

メモリ上に不自然な実行権限とPEヘッダが存在する場合、インジェクションの可能性が高い。

2026年3月21日