HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

シェルコード内でよく使われる「0x90」命令の名称はどれか。

NOP（No Operation）は何も行わない命令で、スレッドがペイロードに滑り込むための「NOPスレッド」に使用…

2026年3月21日

PEファイルの「Relocation Section」の主な役割はどれか。

再配置セクションは、ファイルがImageBase以外の場所にロードされた際のアドレス調整情報を保持する。

2026年3月21日

デバッガで「Software Breakpoint」を設定した際、対象のアドレスの先頭1バイトは何に書き換えられるか。

INT 3命令は実行されるとCPUが例外を発生させ、デバッガに制御を移す。

2026年3月21日

マルウェアが他のプロセスにコードを注入する際、スレッドの実行を再開するために使用するAPIはどれか。

CREATE_SUSPENDEDフラグで作成されたスレッドは、ResumeThreadを呼び出すまで実行が開始されない。

2026年3月21日

「SetUnhandledExceptionFilter」を使用したアンチデバッグの手法は何を利用するか。

デバッガが存在しない場合のみ独自の例外ハンドラを実行させ、正規の処理を続行させる。

2026年3月21日

「LdrLoadDll」関数は通常どのライブラリによってエクスポートされているか。

ntdll.dllはWindowsのネイティブAPIを公開しており、上位ライブラリから呼び出される。

2026年3月21日

「XCHG EAX, EBX」命令の動作はどれか。

XCHG命令は2つのオペランドの値を交換する。

2026年3月21日

Androidマルウェア（APK）の解析において、コンパイルされたJavaコードが格納されているファイルはどれか。

classes.dexにはDalvik仮想マシン（またはART）で実行されるバイトコードが含まれている。

2026年3月21日

Volatilityで特定のプロセスがロードしているDLLの一覧を確認するコマンドはどれか。

dlllistは指定したプロセスのVAD構造体をスキャンし、ロード済みモジュールを表示する。

2026年3月21日

プロセスが新しく作成されたことを検知するために、EDRなどが使用するカーネル通知関数はどれか。

この関数により、プロセスの生成・終了時に特定のコールバックを呼び出すことができる。

2026年3月21日