先週、私はRootkitRevealer(RKR)の最新版をテストしていた。システムの1つをスキャンしてみて驚いた。Rootkitが入り込んでいる形跡があったからだ。Rootkit(ルートキット)とは、ファイル、レジストリ・キー、そのほかのシステム・オブジェクトを、診断ソフトやセキュリティ・ソフトウェアから隠ぺいする技術のことだ。これは通常、マルウェア(不正なソフトウェア)が自らの存在を隠そうとして使用する技術である(Rootkitについては、Windows IT Pro Magazine 6月号掲載の記事“Unearthing Root Kits”に詳しく書いた(訳注:該当記事は契約購読者のみ閲覧可能。Rootkitに関する日本語の記事としては関連記事も参照)。RKRの結果ウィンドウによると、隠しディレクトリが1つ、隠しデバイス・ドライバがいくつか、そして隠しアプリケーションが存在してい
セキュリティ・コンサルタント 村上 純一 本連載の第3回でルートキットをカーネル・モードとユーザー・モードに大別した。また,第4回ではさらにカーネル・モード・ルートキットを「実行パスを変えるもの」と「データを改ざんするもの」に分類した。 今回は,こうした分類とは別の観点で分類し,ルートキットの本質を考えてみたい。 改変されたデータの性質に注目 これまで紹介してきたようにルートキットはシステムの様々なリソースに変更を加えることでその機能を実現している。今回考えてみたい分類は,これらのリソースがOS起動後,通常OSやアプリケーションによって書き換えられるかどうかが大きくかかわっている。そこで回り道になるが,まず,この点を整理しておく。 ルートキットが改ざんする対象となるリソースとしては,以下が挙げられる。 モデル固有レジスタ - IDT(interrupt descriptor table)
セキュリティ・コンサルタント 村上 純一 前回に引き続いてルートキットで利用される技術について紹介したい。今回紹介するのは,「Shadow Walker」という技術だ。前回ルートキットの技術を二つに分類したが,これはそのうちの実行パスの改ざんに当たる技術といえる。 Shadow Walkerは,Sherri Sparks氏とJamie Butler氏によって2005年に米国で開催されたBlackHatブリーフィングスで発表されたもので,メモリーへのアクセスをフィルタし,メモリー上のデータを隠ぺいする技術である。 これを利用することで例えばシグネチャ・ベースのメモリー・スキャン(※メモリー上からマルウエアのシグニチャにマッチするデータを検索する手法)からカーネル空間にロードされたルートキットのコードを隠ぺいすることができる。 Shadow Walkerは,i386以降のx86プロセッサが備え
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く