HOME
Lv028

「Lv028」の記事一覧

「Process Hollowing」において、ターゲットのベースアドレスが異なる場合に行う必要がある処理はどれか。

メモリ上の展開先がイメージベースと異なる場合、ポインタのアドレスを補正しなければならない。

2026年3月21日

「WMI Event Consumer」の種類のうち、任意のコマンドを実行するために使われるものはどれか。

特定の条件（OS起動など）に合わせてマルウェアのパスを起動させるために使用される。

2026年3月21日

「LdrpHashTable」をスキャンすることで特定できる情報はどれか。

リンクリストが改ざんされていても、ハッシュテーブルを直接見ることで隠蔽されたDLLを発見できる。

2026年3月21日

PEファイルの「Debug Directory」に存在する「PDBパス」を解析するメリットはどれか。

開発時のフォルダパスが含まれていることがあり、OSのユーザー名などの帰属性を特定するヒントになる。

2026年3月21日

「Format String Bug」において、メモリの値を書き換えるために使用されるフォーマット指定子はどれか。

%nは、それまでに出力された文字数を引数の指すメモリアドレスに書き込むため、攻撃に悪用される。

2026年3月21日

Volatilityで「EPROCESS」構造体からスレッド情報を辿り、各スレッドの開始アドレスを確認するコマンドはどれか。

インジェクションされたコードがどこから実行を開始しているかを特定するために重要である。

2026年3月21日

「PCMPEQB XMM1, XMM2」命令の動作はどれか。

SIMDを用いた並列比較命令であり、マルウェアの文字列比較の高速化や難読化解除に使われる。

2026年3月21日

プロセスが「UAC（ユーザーアカウント制御）」をバイパスするために悪用する、自動昇格属性を持つインターフェースはどれか。

COMインターフェースの一部には高い権限で自動的に動作するものがあり、これを利用して権限昇格を図る。

2026年3月21日

「FindWindow」で「OLLYDBG」というクラス名が見つかった場合、マルウェアはどう反応すべきか。

デバッガの存在を検知したため、解析を避けるために終了または偽の挙動を見せる。

2026年3月21日

「Process Herpaderping」において、実行中にディスク上のファイルを書き換えることで何を回避するか。

ディスク上のイメージとメモリ上のイメージを一致させないことで、シグネチャベースの検知を回避する。

2026年3月21日