HOME
Lv030

「Lv030」の記事一覧

「Process Mockingjay」と呼ばれる手法において、注入先として狙われるメモリ領域の特徴はどれか。

最初からRWX権限を持つセクションを持つ古いDLLなどを利用し、VirtualProtectを呼ばずにコードを配置する。

2026年3月21日

シェルコードが「Kernel32.dll」のアドレスを特定するために「PEB.Ldr」のどのリストを辿ることが一般的か。

メモリ上にロードされている順序でモジュールを管理するリストを利用して探索する。

2026年3月21日

マルウェアが「セッション0分離」を回避してユーザーのデスクトップにプロセスを表示させるために使うAPIはどれか。

異なるセッションやユーザーコンテキストでプロセスを起動するために不可欠なAPIである。

2026年3月21日

PE32形式において、FS:[0x30]が指し示している構造体はどれか。

スレッド環境ブロック（TEB）のオフセット0x30には、プロセス環境ブロック（PEB）へのポインタがある。

2026年3月21日

「Return-Oriented Programming (ROP)」を防御するためのWindowsの機能はどれか。

間接呼び出しのターゲットを検証することで、不正なガジェットへのジャンプを抑制する。

2026年3月21日

「POPFD」命令は何を行うか。

フラグレジスタの状態を復元するために使われ、難読化コードでフラグを操作する際に多用される。

2026年3月21日

Volatilityでメモリ上の特定のプロセスから「Strings」情報を抽出するメリットはどれか。

ディスク上のファイルがパッキングされていても、メモリ上では展開されているため重要な文字列が見えやす…

2026年3月21日

プロセスが「ASLR」の影響を受けずにロードされているかを判断するためにチェックするPEヘッダのフラグはどれか。

このフラグがオフの場合、そのバイナリは常に同じ固定アドレスにロードされる。

2026年3月21日

「Stack Canaries」をバイパスするために攻撃者が狙う、例外処理に関連する構造体はどれか。

カナリアがチェックされる前に例外を発生させ、書き換えたSEHハンドラに制御を移す手法がある。

2026年3月21日

「Thread Continue Injection」において、既存スレッドを乗っ取るために操作する主要な構造体はどれか。

スレッドのレジスタ（EIP/RIPなど）を書き換えることで、実行フローを自身のペイロードへ向ける。

2026年3月21日