素早く問題を解いてInput⇔Outputを繰り返し!
会員レベル
ログイン
メンバーシップアカウント
会員レベル
ログイン
メンバーシップアカウント
HOME
SANS GIAC GREM (Reverse Engineering)
「SANS GIAC GREM (Reverse Engineering)」の記事一覧
パッカーによって圧縮されたコードがメモリ上で展開された後、最初に実行される本来の命令アドレスを何と呼ぶか。
OEP(Original Entry Point)はマルウェアの本来の処理が始まるエントリポイントである。
2026年3月21日
EAXからEBXを減算し、結果をEAXに格納する命令はどれか。
SUB命令は第1オペランドから第2オペランドを減算し、結果を第1オペランドに格納する。
2026年3月21日
DLLファイルがメモリ上のどのベースアドレスにロードされるべきかを示すヘッダ項目はどれか。
ImageBaseはリンカが想定する優先的なロード開始アドレスを指定する。
2026年3月21日
IsDebuggerPresent関数がチェックする、プロセス環境ブロック(PEB)内のフィールドはどれか。
BeingDebuggedフラグは、プロセスがデバッガによって実行されている場合に1になる。
2026年3月21日
IDA Proなどのディスアセンブラにおいて、関数間の呼び出し関係を視覚化したものはどれか。
コールグラフは、どの関数がどの関数を呼び出しているかの全体像を視覚的に示す。
2026年3月21日
プロセスのメモリダンプから、実行中のマルウェアが保持していた暗号鍵を特定する手法はどれか。
メモリフォレンジックは、揮発性メモリからパスワードや暗号鍵、実行中のコードを抽出する技術である。
2026年3月21日
「PUSH EAX」命令を実行した際、ESP(スタックポインタ)の値はどう変化するか。
x86ではスタックは低いアドレスに向かって成長するため、値をPUSHするとESPは減算される。
2026年3月21日
マルウェアが書き換えたレジストリキーを確認するのに最適なProcmonのフィルタ設定はどれか。
Operationフィルタを使用して「RegSetValue」などを抽出することで、レジストリ変更を特定できる。
2026年3月21日
HTTPS通信を行うマルウェアのペイロードを確認するために必要な作業はどれか。
暗号化された通信の内容を確認するには、証明書を使用した復号が必要となる。
2026年3月21日
PEファイルのセクションのうち、通常、実行コードが配置されるセクション名はどれか。
.textセクションにはプログラムの実行可能な命令コードが格納される。
2026年3月21日
投稿のページ送り
1
…
93
94
95
…
194
