HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

コードをバイトコードに変換し、独自の仮想マシン上で実行させることで解析を極めて困難にする手法はどれか。

VMProtectやThemidaなどのツールで使用される、命令セット自体を独自化する手法である。

2026年3月21日

Windowsのカーネルモードで動作するドライバ（.sys）の解析において、主なエントリポイントとなる関数はどれか。

ドライバファイルはDriverEntry関数から実行を開始する。

2026年3月21日

「REP MOVSB」命令が実行される際、データの転送回数を制御するレジスタはどれか。

REPプレフィックスはECXレジスタの値が0になるまで命令を繰り返す。

2026年3月21日

VBAマクロを含むOffice文書において、自動実行されるサブ関数名はどれか。

AutoOpenやDocument_Openは、ファイルが開かれた際に自動でマクロを実行させるために使われる。

2026年3月21日

PEファイルの「Export Table」に通常含まれている情報はどれか。

DLLなどのファイルが外部のプログラムに提供する関数のリストが格納されている。

2026年3月21日

Windowsサービスとして自身を登録する際にマルウェアが使用するコマンドまたはAPIはどれか。

サービスとして登録されることで、システム起動時に自動的に実行される持続性を確保する。

2026年3月21日

「TEST EAX, EAX」命令の後に「JZ」が続く場合、どのような条件でジャンプするか。

TESTは論理積を取りフラグを更新する。EAXが0の場合、結果も0になりゼロフラグが立つためJZでジャンプする…

2026年3月21日

シェルコードが自身のメモリ上の位置を知るために「CALL / POP」命令を使用する手法を何と呼ぶか。

実行時のアドレスを特定することで、位置に依存しないコード（Position Independent Code）を実現する。

2026年3月21日

マルウェアが「CoCreateInstance」を呼び出す主な理由はどれか。

WindowsのCOMインターフェースを利用して、ブラウザ操作やタスクスケジュールなどを行う。

2026年3月21日

「テールジャンプ（Tail Jump）」とはアンパッキングの過程で何を指すか。

パッカーの処理が終わり、本来のコード（OEP）へジャンプする最後の命令を指す。

2026年3月21日