HOME
Lv006

「Lv006」の記事一覧

「Red Pill」と呼ばれる手法で、仮想マシンの検知に使用されるレジスタはどれか。

IDTR（割り込みディスクリプタテーブルレジスタ）の値が実機と仮想環境で異なることを利用した検知手法で…

2026年3月21日

PEファイルのセクションのうち、初期化されていないグローバル変数が配置される場所はどれか。

.bssセクションは実行ファイル上では場所を取らず、ロード時にメモリが確保される。

2026年3月21日

マルウェア解析において、検体が外部ネットワークに接続しようとするのをシミュレートする擬似サーバーソフトはどれか。

INetSimはHTTP、DNS、SMTPなどの一般的なネットワークサービスを模倣するツールである。

2026年3月21日

マルウェアが使用する「DGA（Domain Generation Algorithm）」の目的はどれか。

固定のドメインを使わず、アルゴリズムに基づき毎日異なるドメインを生成して遮断を困難にする。

2026年3月21日

「Heap Spraying」攻撃の主な目的はどれか。

大量のNOPスレッドとペイロードをメモリに配置し、脆弱性攻撃の成功率を高める。

2026年3月21日

ユーザーモードからカーネルモードの機能を呼び出すために使用される命令はどれか（x64）。

x64アーキテクチャでは、システムコールを実行するためにSYSCALL命令が使用される。

2026年3月21日

コードをバイトコードに変換し、独自の仮想マシン上で実行させることで解析を極めて困難にする手法はどれか。

VMProtectやThemidaなどのツールで使用される、命令セット自体を独自化する手法である。

2026年3月21日

「NtQueryInformationProcess」関数の第2引数に「ProcessDebugPort」を指定した場合、デバッグ中でない時の戻り値はどうなるか。

デバッグ中であればデバッグポート番号が返るが、非デバッグ時は0が返される。

2026年3月21日

Windowsのカーネルモードで動作するドライバ（.sys）の解析において、主なエントリポイントとなる関数はどれか。

ドライバファイルはDriverEntry関数から実行を開始する。

2026年3月21日

「REP MOVSB」命令が実行される際、データの転送回数を制御するレジスタはどれか。

REPプレフィックスはECXレジスタの値が0になるまで命令を繰り返す。

2026年3月21日