HOME
Lv028

「Lv028」の記事一覧

「Sleep Obfuscation」の主な目的はどれか。

活動していないスリープ中に自身のコードを隠蔽（暗号化）し、メモリ内スキャンによるシグネチャ検知を防…

2026年3月18日

「Reflective PE Loading」と標準的なDLLロードの主な違いはどれか。

自前のローダーを実装してメモリ上にPEファイルを配置・修正するため、ファイル検知やAPI監視を避けやすい…

2026年3月18日

「Command Line Spoofing」において、プロセス作成後に引数を書き換えることで隠蔽できる情報はどれか。

起動時は無害な引数を見せ、実行直後にPEBを操作して本来の（悪意のある）引数に書き換えて隠蔽する。

2026年3月18日

シェルコードをAESやXORで暗号化して実行ファイルに埋め込む際、検知を避けるために必要な要素はどれか。

ディスク上では暗号化された無害なデータに見えるようにし、メモリ上でのみ本質的なコードを展開する。

2026年3月18日

「Parent PID Spoofing」において、新しく作成するプロセスの親としてよく選ばれる正規プロセスはどれか。

信頼されたシステムプロセスを親に見せかけることで、不審なプロセスツリーによる検知を回避する。

2026年3月18日

PowerShell等の動作ログを収集する「ETW (Event Tracing for Windows)」を無効化する最も一般的な手法はどれか。

ログを書き込む関数自体をメモリ上で無効化（パッチ）することで、セキュリティ製品への通知を止める。

2026年3月18日

「LLVMベースの難読化」が他の難読化と比べて解析が困難な理由はどれか。

中間言語レベルで複雑な命令に置き換えるため、逆コンパイル後のコードが極めて難解になる。

2026年3月18日

EDR製品が特定のWindows API（NtCreateSection等）をフックしている場合、それを回避する直接的な手法はどれか。

EDRが監視しているライブラリ関数（ntdll.dll）を通さず、アセンブリで直接カーネルに要求を出す。

2026年3月18日

「Process Ghosting」攻撃において、検知を避けるために利用されるWindowsのファイルシステム上の不備はどれか。

ファイルを削除中（Delete-pending）の状態にしつつ、その内容をメモリにマップして実行することでディス…

2026年3月18日

WindowsのAMSIをバイパスするために、メモリ上の「AmsiScanBuffer」関数の先頭を書き換える手法はどれか。

関数の戻り値を常に「AMSI_RESULT_CLEAN」に書き換えることで、それ以降のスキャンを無効化する。

2026年3月18日