HOME
Lv023

「Lv023」の記事一覧

「SetWindowLongPtr」を用いたインジェクションにおいて、どのインデックスを書き換えて関数を奪取するか。

ウィンドウプロシージャのアドレスを自身のコードへ向けることで、メッセージ処理時に実行させる。

2026年3月21日

「Heapspray」において、スライディング（滑走）を助けるためにペイロードの前に配置される命令列を何と呼ぶか。

実行フローがどこに着地してもペイロードまで安全に到達させるための無操作命令の羅列である。

2026年3月21日

Volatilityでプロセスの「VAD（Virtual Address Descriptor）」の木構造をダンプするコマンドはどれか。

各メモリ領域の範囲、保護属性、マップされたファイルなどの詳細情報を取得できる。

2026年3月21日

マルウェアが「Doh (DNS over HTTPS)」を利用する主な利点はどれか。

標準的な53番ポートのDNS通信を使用しないため、ネットワークレベルのDNS検知をすり抜ける。

2026年3月21日

「EPROCESS」構造体に含まれる「ActiveProcessLinks」のデータ構造はどれか。

すべての実行中プロセスを繋ぐ双方向リストであり、ここから外れることでプロセス隠蔽が行われる。

2026年3月21日

「Mixed Boolean-Arithmetic (MBA)」難読化の目的はどれか。

x+y を (x^y)+2*(x&y) のように書き換え、静的解析ツールによる数式復元を困難にする。

2026年3月21日

PEファイルの「BaseReloc Table」が指し示すデータの最小単位はどれか。

再配置情報は通常、4KBのページごとのブロックとして管理されている。

2026年3月21日

「VirtualQuery」を用いて自身のメモリページの属性をチェックし、ブレークポイント（0xCC）を検知する手法を何と呼ぶか。

メモリ上の実行コードが書き換えられていないかを動的に検証して解析を妨害する。

2026年3月21日

「CMOVZ EAX, EBX」命令が実行される条件はどれか。

条件付きデータ転送命令であり、ゼロフラグが立っている場合にのみ値をコピーする。

2026年3月21日

プロセスが「DLL読み込み順序の乗っ取り」を防ぐために使用するAPIはどれか。

検索パスをシステムディレクトリ等に限定することで、カレントディレクトリの不正DLL読み込みを防止する。

2026年3月21日