HOME
Lv011

「Lv011」の記事一覧

システムコール番号が格納されるレジスタ（x64）はどれか。

SYSCALL命令を実行する際、RAXに呼び出したい関数の番号を指定する。

2026年3月21日

PEファイルの「CheckSum」フィールドが必須とされるファイルの形式はどれか。

ドライバやクリティカルなシステムDLLでは、ロード時にチェックサムの整合性確認が行われる。

2026年3月21日

「LEAVE」命令が実行する一連の処理と等価なものはどれか。

LEAVE命令はスタックフレームを破棄し、呼び出し元のベースポインタを復元する。

2026年3月21日

「Process Hollowing」のステップにおいて、「UnmapViewOfSection」を使用する目的はどれか。

ターゲットのメモリ空間から正規の実行コードを削除し、不正なコードを書き込むスペースを作る。

2026年3月21日

「Fast Flux」技術において、頻繁に変更されるのはどれか。

1つのドメインに対して多数のIPを短時間で切り替えることで、C2サーバーの特定を困難にする。

2026年3月21日

「BlockInput」APIをマルウェアが使用する目的はどれか。

解析中にユーザーによる操作を一切受け付けなくすることで、デバッガの操作を妨害する。

2026年3月21日

Volatilityで「Malformed PE」を検出するために「malfind」がチェックする項目の組み合わせはどれか。

メモリ上に不自然な実行権限とPEヘッダが存在する場合、インジェクションの可能性が高い。

2026年3月21日

プロセスのメインスレッドの開始アドレスを取得するためにアクセスするPEBのフィールドはどれか。

ImageBaseAddressはプロセスイメージがロードされたメモリ上の開始位置を示す。

2026年3月21日

「Opaque Predicate」と呼ばれる手法の特徴はどれか。

「1+1=2」のように結果が決まっている条件式を複雑に書き、解析を惑わせる。

2026年3月21日

SANS GREM認定において、解析の自動化に最も適しているスクリプト言語はどれか。

Pythonはマルウェア解析ツール（IDA, Volatility等）との親和性が高く、標準的に利用される。

2026年3月21日