HOME
Lv025

「Lv025」の記事一覧

PEファイルの「Export Table」において、関数名ではなく番号でエクスポートする方式を何と呼ぶか。

関数名を持たないため、静的解析でインポート関数から機能を推測されるのを防ぐ効果がある。

2026年3月21日

「BlockInput」関数を悪用するマルウェアに対し、解析者が取るべき対策はどれか。

Windowsのセキュリティ仕様により、Ctrl+Alt+DelはBlockInputによる制限を受けない。

2026年3月21日

「SYSENTER」命令が実行された後、制御が移るカーネル内の共通エントリポイントはどれか。

高速システムコールにおいて、ユーザーモードからカーネルモードへ遷移した直後の処理を担う。

2026年3月21日

「Process Ghosting」において、マルウェアがファイルを削除した後にプロセスを作成できる理由はどれか。

ファイルがディスクから消えていても、開いているハンドルがあればそのイメージをプロセスとして起動でき…

2026年3月21日

特定のアドレス範囲のメモリ保護属性や状態を調査するAPIはどれか。

解析対象プロセスのメモリが「実行可能」か「書き込み可能」かなどを調べるために使われる。

2026年3月21日

Volatilityを使用して、特定のプロセスがオープンしているファイルハンドル（File Object）をリストアップするためのコマンドはどれか。

handlesプラグインを使用し、タイプを「File」にフィルタリングすることで、プロセスが操作中のファイルを…

2026年3月21日

SAMハイブにおいて、アカウントが「無効（Disabled）」に設定されているかどうかを判断するために確認すべきバイナリデータ内のビット位置はどれか。

F値内の特定のオフセットにあるACBフラグ（例：0x0001がDisabled）を確認することで、アカウントの状態を…

2026年3月21日

Outlookで「会話モード」を使用している場合、関連するメールをグループ化するために使用されるMAPIプロパティはどれか。

PR_CONVERSATION_ID（またはConversation Index）は、スレッド化されたメッセージを識別し、関連付けるた…

2026年3月21日

Windows 10の「Quick Access」で、最近使った「ファイル」のリスト（自動生成）を保持しているファイル名はどれか。

f01b4d95cf55d32aはクイックアクセスの「最近使用したファイル」および「ピン留め」を管理するデータベー…

2026年3月21日

USBデバイスのベンダー名や製品名を特定するために、ベンダーID（VID）とプロダクトID（PID）を照合するオンラインデータベースの通称はどれか。

USB ID Repositoryなどのサイトを利用することで、レジストリから得たVID_xxxx&PID_xxxxという数値を人間…

2026年3月21日