GIAC Reverse Engineering Malware (GREM) FOR610 感想

Posted on by Tony3

先日、GIAC Reverse Engineering Malware (GREM) FOR610を受験し合格した。

個人的に7年ぶりの資格試験かつ初めてのGIAC試験かつ初めての日本国外 (シンガポール)での受験となり、なかなか印象深いものになった。

以下、感想と備忘録。

受験の動機

マルウェア解析は主業務ではないものの、自力である程度の解析 (良性・悪性の判断、HBI/NBIの抽出など)を出来るようになりたいと思い、この2年ほど独学でマルウェア解析 (主にWindowsのEXEとDLL)の勉強をしていた。この勉強の成果を資格という目に見える形で残したいと考え受験するに至った。会社がトレーニング代と試験代を負担してくれることも後押しとなった。またGREMの概要を調べてみると、Microsoft Officeファイル、PDF、RTF、PowerShell、JavaScriptの解析もカバーしているようで、そういった点にも惹かれた。

コースの感想と受験まで

自分のペースで勉強できるということでオンラインのオンデマンドのトレーニング・コースを選択した。トレーニングの教材は以下の通り。

  • コース教本5冊 + Workbook 1冊
  • マルウェア解析用のVM (Linux版のREMnux、Windows版のREM Workstation)
  • 模擬試験2回
  • NetWars (CTF形式のラボ問題)

毎日1〜2時間ほどコース動画を見て粛々と勉強した。いろいろな人から自分用のインデックスを作ったほうが良いと聞いていたので、バンバン教本にマーカーを引いたり、付箋を貼っていった。実際、1〜4日目の教本には索引がついておらず、5日目の教本に索引が網羅されていた。

以下は5日目の教本の索引の例。

Hoge 2:35

上記はHogeについては2日目の教本の35ページに書かれていることを表している。

オンデマンド・コースなので気になったところはいつでも再生・巻き戻し出来る上、英語字幕のオン・オフも自由に出来た (正しく字幕化できていない単語もチラホラあったが)。

授業内容のメモは個別にアップしていく予定。

コース動画をすべて見終えたらNetWarsに取り掛かり、NetWarsを全問クリアした後は復習もそこそこに1回目の模擬試験を受けてみた。結果は正答率77.33%で合格ラインギリギリだった。 (合格ラインは70%以上)
模擬試験では解答を誤るとその場で正しい解答と解説を表示してくれる。 (設定を変更すれば解答の正解・不正解に関係なく解答と解説を表示することも可能) 間違った問題はその場で解答と解説を控えて復習に活用した。また模擬試験が終わると試験結果の総評を表示してくれるので、正答率の高かった分野や逆に間違いの多かった分野を知ることが出来る。模擬試験の総評で間違いの多かった分野を中心に復習し、2回目の模擬試験を受けたところ、正答率が92%に上がった。2回目の模擬試験でそれなりに手応えを感じたので、すぐに本試験の予約をし、無事合格した。

NetWars 感想

ノーヒントで全問解くことが出来た。問題の傾向としては「このマルウェアを実行すると、どのドメインまたはIPと通信するか」とか「この関数の引数に渡されている値は何か」などの単純な問題が多かった。マルウェアを動かして挙動を見るなり、アセンブリを少し眺めれば答えられるような問題ばかりだった。正直CTFとしてはだいぶ物足りない印象だった。

試験当日の流れ

最寄りのPearson VUE対応のテスト・センターで受験した。事前に試験会場を下見していたので当日は迷うことなく試験の30分前には到着できた。(下見のときは案の定少し迷ってしまった)
受付で試験を予約した旨を告げると、まず身分証を2種類提示するよう言われた。自分はEP (Employment Pass) とパスポートを提示した。身分証の確認が済むとEPは試験終了まで受付で預かると言われた。免責事項にサインして顔写真を撮り終わると、貴重品等を鍵付きのロッカーに入れて試験部屋へ案内された。GREMの試験はコース教本の持ち込み可のためコース教本5冊+Workbook1冊+英和辞書を試験部屋に持ち込んだ。(英和辞書については事前にSANSに問い合わせて、持ち込み可の確認を得ていた。結局使わなかったが) 一応、試験官に「このコースは持ち込み可だから〜」と一言断っておいた。特に疑っている様子はなかった。筆記用具として試験官からボールペンとボードを渡された。
試験官が端末のセットを終え、いざ試験開始。COVID対策のため席の間隔は広めに取られており、コース本を広げるくらいのスペースは確保されていた。ちなみに試験はマスクを着用したまま受けなければいけなかった。(試験当時、シンガポールでは自宅外でのマスク着用が義務化されていた)
部屋はガラガラだった。自分が試験を開始した際は誰もおらず、途中でほかの受験者が2名入室しただけだった。
試験を終え、合格したのを確認すると試験官を呼んで端末の終了手続きをしてもらった。GREM試験はテスト・センターで印刷するような書類はないとのことだったので、荷物を回収して撤収。。。したのだが、帰り道の途中で預けたままのEPを返してもらっていないことに気づきテスト・センターまで引き返す羽目になった。幸い、担当の試験官がまだ居たので、すぐに返してもらえた。

試験の感想

試験時間は120分で全75問。任意のタイミングで計15分休憩をはさめる。(一度に15分休憩するか、15分を2回に分けて休憩するか選べる)

正答率88%で合格した。

PDFとJavaScriptに関する出題が多かったように思う。覚えている範囲だとMicrosoft Office、RTF、PowerShell、 64ビット・プログラムに関する出題は無かった。
試験開始から1時間強経過した時点で5分ほど休憩した。この時点で60問近く解いていたと思う。大体1時間半で75問全て解いて試験を終了した。

トレーニング・コースの開始から試験合格まで大体2ヶ月ほどかかった。

IT業従事者。2018年10月末よりシンガポール在住。

Leave a Reply

Your email address will not be published. Required fields are marked *