HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

プロセスのメインスレッドの開始アドレスを取得するためにアクセスするPEBのフィールドはどれか。

ImageBaseAddressはプロセスイメージがロードされたメモリ上の開始位置を示す。

2026年3月21日

「Opaque Predicate」と呼ばれる手法の特徴はどれか。

「1+1=2」のように結果が決まっている条件式を複雑に書き、解析を惑わせる。

2026年3月21日

SANS GREM認定において、解析の自動化に最も適しているスクリプト言語はどれか。

Pythonはマルウェア解析ツール（IDA, Volatility等）との親和性が高く、標準的に利用される。

2026年3月21日

「Universal Unpacker」がアンパッキングの終了を検知するために一般的に使用する条件はどれか。

展開されたコードから、別のセクション（通常はOEP）へのジャンプが行われた瞬間を検知する。

2026年3月21日

シェルコードがWindows APIのアドレスを動的に特定するために最初にアクセスする構造体はどれか。

PEB内のLdrデータ構造を辿ることで、ロードされているDLLのベースアドレスを特定できる。

2026年3月21日

マルウェアが権限昇格のために「トークン複製」を行う際に使用するAPIはどれか。

既存の特権を持つプロセスのトークンを複製し、その権限で新しいプロセスを作成する。

2026年3月21日

PE32+（64ビット）形式において、ポインタのサイズは何バイトか。

64ビットアーキテクチャ（x64）では、アドレスポインタは8バイト長となる。

2026年3月21日

「Structured Exception Handling (SEH)」を上書きする攻撃において、攻撃者が狙うデータ構造はどれか。

SEHレコードを上書きして例外を発生させることで、Handlerに設定したアドレスへ制御を移す。

2026年3月21日

VMwareを検知するためにIOポート「’VMXh’」に対して操作を行う特権命令はどれか。

仮想マシン特有の通信ポートへのアクセスを試み、その応答によって環境を特定する。

2026年3月21日

「VAD (Virtual Address Descriptor)」ツリーを解析することで判明する情報はどれか。

VADはカーネルが各プロセスの仮想メモリ領域を管理するために使用するツリー構造である。

2026年3月21日