HOME
Lv027

「Lv027」の記事一覧

「Netsh Helper DLL」を利用した持続性確保において、登録されるレジストリパスはどれか。

netshコマンドが実行されるたびに、登録された任意のDLLがロードされる仕組みを悪用する。

2026年3月21日

Windowsの「Job Object」をマルウェア解析に使用する利点はどれか。

解析対象が作成するすべての子プロセスを一つのグループとして管理し、制御下に置くことができる。

2026年3月21日

「APIログ」の解析において、同じAPIが短時間に数千回呼び出されている場合に疑われる手法はどれか。

サンドボックスの解析時間を浪費させる、あるいは動作ログを膨大にして解析を困難にする手法である。

2026年3月21日

「Heap Overflow」を解析する際、上書きされることで制御奪取に繋がる「メタデータ」とは何か。

フリーリストのポインタを書き換えることで、任意のメモリ書き込み（Exploit）を可能にする。

2026年3月21日

PEファイルの「Data Directory」の第1エントリ（インデックス0）に格納されている情報はどれか。

エクスポートテーブルのアドレスとサイズが最初に定義されている。

2026年3月21日

Volatilityでメモリ内のパスワードハッシュを抽出する際、どのレジストリハイブのダンプが必要か。

SAMにはユーザーアカウント情報があり、SYSTEMにはそれを復号するためのキー（syskey）が含まれている。

2026年3月21日

「UD2」命令の役割はどれか。

デバッガや解析ツールがこの命令に遭遇した際の例外処理の挙動を利用して、解析を妨害するために使われる。

2026年3月21日

マルウェアが自身のファイル名を「sample.exe」から「svchost.exe」に変更して実行する手法を何と呼ぶか。

正規のシステムプロセス名に似せることで、タスクマネージャー等を見るユーザーの目を欺く。

2026年3月21日

プロセスの優先度クラスを取得・設定するAPIはどれか。

マルウェアがバックグラウンドで隠密に動作するために優先度を下げる、あるいは解析を妨害するために上げ…

2026年3月21日

「GhostWriting」と呼ばれる手法において、コードを注入する際にAPI（WriteProcessMemory等）を使わない理由はどれか。

既存のスレッドのレジスタを操作し、ターゲットプロセス内の既存命令を利用して自己書き換えを行わせる。

2026年3月21日