HOME
Lv016

「Lv016」の記事一覧

「AppInit_DLLs」レジストリキーを利用した手法の動作原理はどれか。

User32.dllをロードするすべてのプロセスに対し、指定したDLLを強制的にインジェクションする。

2026年3月21日

.NETバイナリの「GAC (Global Assembly Cache)」とは何か。

システムの共有ライブラリが格納されており、マルウェアがここに偽のDLLを置くこともある。

2026年3月21日

「Process Forking」において、子プロセスを作成する主な利点はどれか。

親プロセスが監視されていても、子プロセスに処理を移すことで解析を回避しやすくする。

2026年3月21日

「Virtual Instruction Set」を用いた難読化を解析する際、最初に特定すべき場所はどれか。

各仮想命令をどのように処理しているかという分岐の起点（ディスパッチャ）を解析の要とする。

2026年3月21日

「REPNE SCASB」命令が一般的に使用される目的はどれか。

AL（通常は0x00）とEDIが指すメモリを比較し、一致するまで繰り返すことで文字列の終端を探す。

2026年3月21日

「IAT (Import Address Table)」の実体は、ロード後にはどのような値に書き換えられるか。

ローダーによって、バイナリ内のヒント情報が実際のメモリ上の関数アドレスへ上書きされる。

2026年3月21日

「CheckRemoteDebuggerPresent」が内部的に呼び出している関数はどれか。

この関数はシステムサービスを呼び出して、プロセスがデバッグ中かどうかを確認する。

2026年3月21日

「Egghunter」と呼ばれるシェルコードの役割はどれか。

小さな脆弱性から侵入し、あらかじめメモリに送り込んでおいた本来の攻撃コードをタグを頼りに探し当てる。

2026年3月21日

システム時間を取得し、前回の実行時と比較して「デバッグによる遅延」を調べるAPIはどれか。

実行開始時と終了時のティックカウントを比較し、差が大きすぎる場合に解析中と判断する。

2026年3月21日

「API Hammering」と呼ばれる手法の目的はどれか。

意味のないAPI呼び出しを数万回繰り返すことで、解析システムの監視ログを溢れさせたり時間稼ぎをする。

2026年3月21日