HOME
Lv029

「Lv029」の記事一覧

「Image File Execution Options (IFEO)」で「GlobalFlag」を設定する目的はどれか。

Silent Process Exit機能などを悪用し、特定のアプリが終了した際にマルウェアを起動させる。

2026年3月21日

「KPROCESS」構造体と「EPROCESS」構造体の関係はどれか。

カーネルが管理するプロセスの基本情報がKPROCESSであり、その拡張版がEPROCESSである。

2026年3月21日

デバッガで「Software Breakpoint」を大量に配置すると、マルウェア側で何を検知される可能性があるか。

0xCCへの書き換えはハッシュ値を変えるため、自己チェック機能を持つマルウェアに解析を悟られる。

2026年3月21日

マルウェアが「Port 443」を使用して「HTTP」通信を行う（HTTPSではない）主な理由はどれか。

プロトコルの不一致を利用して、IDS/IPSを混乱させる手法の一つである。

2026年3月21日

「Control Flow Flattening」において、基本ブロックの順序をランダム化するために使われる変数はどれか。

ディスパッチャがこの変数を参照して、次にどのブロックへ飛ばすかを制御する。

2026年3月21日

「MOVNTI [EDI], EAX」命令の「NT」は何を意味するか。

キャッシュを介さずメモリに直接書き込むことで、解析ツールによるメモリ監視の一部を回避しようとするこ…

2026年3月21日

Androidの「classes.dex」を「dex2jar」で変換した後に使用するJavaデコンパイラはどれか。

Javaのクラスファイルを読みやすいソースコード形式で表示するために使われる。

2026年3月21日

システム上のすべてのオープンハンドルを列挙するために使用するAPIはどれか。

システム全体のハンドルテーブルをスキャンし、他のプロセスが掴んでいるファイルやミューテックスを特定…

2026年3月21日

「VirtualBox」のゲストOS内で「PCIデバイスID」を確認した際、ベンダーID「0x80EE」は何を指すか。

特定のベンダーIDをチェックすることで、動作環境が仮想化されているかを判断する。

2026年3月21日

「Propagate Injection」において、どのウィンドウプロパティを書き換えてコードを実行するか。

既存のウィンドウのサブクラス化情報を操作し、メッセージループを利用して不正コードを呼び出させる。

2026年3月21日