HOME
Lv017

「Lv017」の記事一覧

PEファイルの「Export Address Table (EAT)」が「Forwarder RVA」を持つ場合、どういう意味か。

呼び出された関数が実際には別のライブラリ（NTDLLの関数がKernel32で公開されている場合など）にあること…

2026年3月21日

「Sandbox Escape」技術の一つで、共有フォルダを経由してホストOSを攻撃する手法はどれか。

仮想環境のホスト・ゲスト間の共有機能の不備を突き、制限を超えてホスト側へ干渉する。

2026年3月21日

PDFマルウェアにおいて、JavaScriptを自動実行させるために使われるキーワードはどれか。

ドキュメントが開かれた際に指定されたアクション（スクリプト実行等）を自動的に起動させる。

2026年3月21日

「API Obfuscation」で、関数名を直接書かずにハッシュ値で管理する手法を何と呼ぶか。

バイナリ内に「GetProcAddress」とハッシュ値だけを持ち、実行時に関数を特定することで静的解析を逃れる。

2026年3月21日

「KUSER_SHARED_DATA」領域の読み取りが行われる主な理由はどれか。

ユーザーモードから、システム時刻やバージョン情報などに高速にアクセスするために用意された固定アドレ…

2026年3月21日

「CPUID」を実行後、ベンダー名が「GenuineIntel」の場合、EBX, EDX, ECXに格納される値はどれか。

CPUID（EAX=0）を実行すると、レジスタにまたがって「Genu」「ineI」「ntel」の文字が格納される。

2026年3月21日

Volatilityで「SSDT (System Service Descriptor Table)」のフックを検出するプラグインはどれか。

カーネルモードでシステムコールがフックされている箇所（ルートキットの兆候）を特定する。

2026年3月21日

「Stack Pivot」と呼ばれる技術の主な目的はどれか。

ROP攻撃などにおいて、制御可能な領域をスタックとして認識させるためにESPの値を書き換える。

2026年3月21日

「Extra Window Bytes (EWB) Injection」が利用する関数はどれか。

ウィンドウ作成時に確保される追加のメモリ領域にコードを書き込み、実行させる手法である。

2026年3月21日

プロセスが「ASLR」を回避するために、自身のベースアドレスを特定するAPIはどれか。

引数にNULLを渡して呼び出すことで、自身のプロセスの実行開始アドレスを取得できる。

2026年3月21日