HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

条件分岐をすべて排除し、中央のディスパッチャを経由するようにコードを再構成する手法はどれか。

Control Flow Flatteningは、プログラムの論理構造を隠蔽し、静的解析を困難にする。

2026年3月21日

x64において、関数呼び出し時にスタックを16バイト境界に整列させる必要がある理由はどれか。

多くのSSE/AVX命令は16バイト整列されたメモリへのアクセスを要求するため、規約で定められている。

2026年3月21日

バッファオーバーフローの解析において、関数の戻りアドレスを上書きするために操作するスタック上の領域はどれか。

スタック上のReturn Address（EIP）を上書きすることで、実行フローを奪取できる。

2026年3月21日

「Red Pill」と呼ばれる手法で、仮想マシンの検知に使用されるレジスタはどれか。

IDTR（割り込みディスクリプタテーブルレジスタ）の値が実機と仮想環境で異なることを利用した検知手法で…

2026年3月21日

PEファイルのセクションのうち、初期化されていないグローバル変数が配置される場所はどれか。

.bssセクションは実行ファイル上では場所を取らず、ロード時にメモリが確保される。

2026年3月21日

マルウェア解析において、検体が外部ネットワークに接続しようとするのをシミュレートする擬似サーバーソフトはどれか。

INetSimはHTTP、DNS、SMTPなどの一般的なネットワークサービスを模倣するツールである。

2026年3月21日

マルウェアが使用する「DGA（Domain Generation Algorithm）」の目的はどれか。

固定のドメインを使わず、アルゴリズムに基づき毎日異なるドメインを生成して遮断を困難にする。

2026年3月21日

「Heap Spraying」攻撃の主な目的はどれか。

大量のNOPスレッドとペイロードをメモリに配置し、脆弱性攻撃の成功率を高める。

2026年3月21日

ユーザーモードからカーネルモードの機能を呼び出すために使用される命令はどれか（x64）。

x64アーキテクチャでは、システムコールを実行するためにSYSCALL命令が使用される。

2026年3月21日

「NtQueryInformationProcess」関数の第2引数に「ProcessDebugPort」を指定した場合、デバッグ中でない時の戻り値はどうなるか。

デバッグ中であればデバッグポート番号が返るが、非デバッグ時は0が返される。

2026年3月21日