HOME
SANS GIAC GREM (Reverse Engineering)

「SANS GIAC GREM (Reverse Engineering)」の記事一覧

コードの中に実行されない無意味な命令を挿入し、解析を妨害する手法はどれか。

ジャンクコードは逆アセンブラの出力を混乱させ、解析者の時間を浪費させるために挿入される。

2026年3月21日

パッキングされたファイルにおいて、IAT（Import Address Table）が破壊されている場合、何を修復する必要があるか。

アンパッキング後、正常に動作させるにはインポート関数のアドレスを解決するIATの修復が不可欠である。

2026年3月21日

x86の「CPUID」命令を実行した際、EAXに「1」をセットして呼び出した後に返されるECXの第31ビットは何を示すか。

ハイパーバイザー上で実行されている場合、CPUIDの特定のビットが1にセットされる。

2026年3月21日

「LEA EAX, [EBX+8]」命令が実行された際、EAXに格納される値はどれか。

LEAは実効アドレスを計算してレジスタに格納する命令であり、メモリ参照は行わない。

2026年3月21日

ファイルを作成、または開くためにマルウェアが最も頻繁に使用するAPIはどれか。

CreateFileは既存のファイルを開く際にも、新規作成する際にも使用される主要なAPIである。

2026年3月21日

IDA Proで特定の関数やデータがどこで使用されているかを探す機能はどれか。

クロスリファレンス（Xrefs）機能により、コード内の参照元と参照先を特定できる。

2026年3月21日

実行ファイルのリソースセクション（.rsrc）から別の実行ファイルを抽出して実行するマルウェアの形態はどれか。

ドロッパーは自身の中に別の不正プログラムを内包し、実行時にそれを展開して実行する。

2026年3月21日

CPUのデバッグレジスタ（DR0-DR7）にハードウェアブレークポイントが設定されているか確認する手法はどれか。

GetThreadContextを使用するとスレッドのデバッグレジスタの状態を取得し検知できる。

2026年3月21日

HTTPのPOSTリクエストでデータが送信される際、Content-Typeが「application/octet-stream」の場合、何を示唆するか。

octet-streamは任意のバイナリ形式のデータが転送されていることを示す。

2026年3月21日

マルウェアが特定のミューテックス（Mutex）を作成する主な目的はどれか。

ミューテックスはシステム上での一意な識別子として、二重感染を防ぐために使用される。

2026年3月21日