HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

「Control Flow Graph (CFG)」の平坦化において、次に実行するブロックを決定する変数を何と呼ぶか。

状態変数の値に基づいてswitch文のようなディスパッチャが次の中継先を決定する。

2026年3月21日

マルウェアが「APCインジェクション」を標的スレッドに対して行う際に使用するAPIはどれか。

QueueUserAPCは、指定したスレッドに対して非同期手続き呼び出しをキューに登録する。

2026年3月21日

Windows 10以降で導入された、ドライバの署名を強制する機能の名称はどれか。

DSEにより、正当なデジタル署名のないドライバはカーネルにロードできないよう制限されている。

2026年3月21日

「Heaven’s Gate」と呼ばれる手法の目的はどれか。

WOW64の仕組みを悪用し、32ビットのデバッガによる解析を混乱させるために64ビットコードへ切り替える。

2026年3月21日

「CMP EAX, EBX」の後に「JG」が続く場合、ジャンプが実行されるのはどの条件か。

JG（Jump if Greater）は符号付き比較の結果、第1オペランドが大きい場合にジャンプする。

2026年3月21日

COMオブジェクトの乗っ取り（COM Hijacking）で狙われるレジストリキーはどれか。

InprocServer32キーの値を不正なDLLパスに書き換えることで、特定のCOM呼び出し時にマルウェアをロードさ…

2026年3月21日

x64 Windowsにおいて、スレッド環境ブロック（TEB）を指すセグメントレジスタはどれか。

x64ではGSレジスタがTEBへのポインタとして使用される（x86ではFSレジスタ）。

2026年3月21日

「Process Ghosting」において、削除されたファイルのハンドルを利用してコードを実行する目的はどれか。

ディスク上にファイルが存在しない状態でプロセスを起動させることで、検知を困難にする。

2026年3月21日

「OutputDebugString」を使用したデバッガ検知において、エラーが発生しない場合の判断はどれか。

デバッガが存在する場合、この関数は正常に処理されるが、不在時はエラーを返す挙動を利用する。

2026年3月21日

「ROP（Return-Oriented Programming）」攻撃で、スタックを制御するために繋ぎ合わせるコード片を何と呼ぶか。

ガジェットは「RET」命令で終わる既存のコード断片であり、これらを組み合わせて攻撃を実行する。

2026年3月21日