HOME
Lv019

「Lv019」の記事一覧

Androidマルウェアの「DexClassLoader」が悪用される理由はどれか。

実行時に外部サーバーから取得した追加の不正コードをメモリ上で実行するために使われる。

2026年3月21日

プロセスのスレッドのコンテキスト（レジスタ状態）を書き換えるAPIはどれか。

このAPIにより、スレッドが再開された際の実行開始地点やレジスタの値を任意に変更できる。

2026年3月21日

「CPUID」のリーフ「0x40000000」を呼び出した際、返される文字列が「VMwareVMware」の場合、何を意味するか。

仮想環境のハイパーバイザーは、この特定の呼び出しに対して独自のシグネチャ文字列を返す。

2026年3月21日

「Process Hollowing」において、ターゲットプロセスの「PEB」を書き換える目的はどれか。

PEB内の情報を書き換えることで、解析ツールに対して正規のプログラムが動いているように見せかける。

2026年3月21日

エクスプローラで「最近表示した場所」の履歴を管理する「LastVisitedPidlMRU」キーにおいて、各エントリには何が記録されているか。

各エントリには、アプリケーションの実行ファイル名と、そのアプリで開いたフォルダの場所を示すPIDL（Ite…

2026年3月21日

Windowsが接続したネットワークの「Category（Public/Private）」を変更した履歴は、どのイベントログに残る可能性があるか。

NetworkProfile/Operationalログには、ネットワークの識別やカテゴリ変更（ID 10000, 10001等）に関するイ…

2026年3月21日

WMI（Windows Management Instrumentation）の永続化攻撃（WMI Persistence）を調査するために解析すべきWMIリポジトリファイルはどれか。

WBEMフォルダ内のOBJECTS.DATAには、WMIクラス定義やインスタンス（FilterやConsumerの設定を含む）が格納…

2026年3月21日

USBデバイスの「FriendlyName」がレジストリに存在しない場合、OSはどこからデバイスの表示名を取得して表示するか。

FriendlyNameが生成されていない場合、デバイス自体が持つProduct Name文字列や、ドライバ定義の標準名称…

2026年3月21日

Outlookの検索インデックス機能（Windows Search）が作成する、メールコンテンツのインデックスが含まれるデータベースはどれか。

OutlookのメールデータはWindows Searchによってインデックス化され、そのデータはProgramData配下のWindo…

2026年3月21日

HTTPレスポンスヘッダの「Last-Modified」と「Date」の差分を確認することで、何が推測できるか。

サーバーが生成した「Date」ヘッダと、ローカルで保存されたタイムスタンプやLast-Modifiedを比較すること…

2026年3月21日