HOME
Lv026

「Lv026」の記事一覧

「COM Surrogate (dllhost.exe)」を利用して不正なDLLをロードさせる手法に関連するレジストリ値はどれか。

正規のdllhostプロセスに自身のDLLをホストさせることで、セキュリティソフトの監視を回避しようとする。

2026年3月21日

「Process Hollowing」の解析中、メモリから抜き出した実行ファイルを修復する際に最も重要な調整はどれか。

メモリ上の配置（仮想サイズ）とファイル上の配置（物理サイズ）の違いを修正しないと、静的に動作しない。

2026年3月21日

x64において、引数が5つ以上ある場合、5番目以降の引数はどのように渡されるか。

最初の4つはレジスタ（RCX, RDX, R8, R9）で、それ以降は右から左の順でスタックに積まれる。

2026年3月21日

「Code Virtualization」において、バイトコードを解釈する「VM Handler」がスタックベースで動作する場合の利点はどれか。

レジスタの割り当てを気にする必要がなく、複雑なロジックを独自命令に変換しやすい。

2026年3月21日

PDFファイル内に隠されたバイナリデータ（ストリーム）を展開するために使われるフィルタ名はどれか。

zlib/deflateアルゴリズムによる圧縮であり、マルウェアのペイロードを隠すために多用される。

2026年3月21日

マルウェアが「Tor」ネットワークをC2通信に利用する主な理由はどれか。

オニオンルーティングにより、通信の終着点であるサーバーの物理的な場所の特定を困難にする。

2026年3月21日

「NtQueryObject」を使用して、「DebugObject」型のハンドルが存在するか確認する手法の目的はどれか。

デバッグセッションが存在する場合、特定のカーネルオブジェクトが作成されることを利用して検知する。

2026年3月21日

「SCASW」命令が比較に使用するレジスタはどれか。

SCASW（Scan String Word）は、AXレジスタの値とES:EDIが指すメモリの内容を比較する。

2026年3月21日

「Early Bird Injection」と呼ばれる手法が注入に使用するタイミングはどれか。

プロセス作成直後のサスペンド状態でAPCをキューイングし、ResumeThread時に最初に実行させる手法である。

2026年3月21日

指定したプロセスの親プロセスIDを変更（偽装）するために使用される属性リストのフラグはどれか。

CreateProcessの引数でこの属性を使用すると、解析ツール上のプロセスツリー表示を欺くことができる。

2026年3月21日