アカウント名:
パスワード:
まずレジストリ中の特定の場所に指定されているプログラムをチェックする。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run とか代表的だけども、いくつもチェックするところはある。省略。
たしかにこれは有用なんだけど、レジストリのキー自体を隠すやつもいるんで、そういう場合は発見は困難でしょう。
# その技術を使った有名なものはSony XCP rootkit
まぁ、ウィルス対策ソフト入れてるだけみたいな手抜き管理 しないで事前にきちんと侵入への対策とっていればそんな苦労することはないですね。
本来、そういった侵入の対策をこそウィルス対策ソフトにやってほしいのですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
発見する方法 (スコア:0)
専用サーバも運営していますが、みなさんはどう検知しているのでしょうか?
Re: (スコア:1)
ものだとは言え、未知の脆弱性をついて侵入されるものではないでしょう。
だからWindowsやアプリケーションのパッチをあてて最新版にしておくのは
基本として、サーバーだったら余計なポートを開かずに、そこから外部に
IE等でアクセスするようなことをしなければ入ってくることはないでしょう。
ごくごく普通の対応で十分。
QuickTimeとかAdobeReaderとかRealPlayer等の頻繁に脆弱性が発見される
ものは入れないようにすると楽かも。
ファイルサーバーで得体の知れないファイルが出入りするっていうなら、
Re: (スコア:0)
Re:発見する方法 (スコア:2, 参考になる)
まずレジストリ中の特定の場所に指定されているプログラムをチェックする。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
とか代表的だけども、いくつもチェックするところはある。省略。
当然ウィルスでないプログラムもあるので一つ一つ地道にチェック。
知らないプログラムがあればぐぐる。ぐぐっても分からない場合も多いけど。
あと、ウィルスが動いていると、レジストリの項目を削除してもシステム終了時に
また書き込まれることがあるので、セーフモードでやると吉。
過去に見たウィルスでは、SCSIドライバーとして登録されているものがあって
これは発見したけども自分の技術レベルではどうやっても手動でファイルを削除できなかった。
ちなみに対策ソフトで駆除できた。HDDを別のマシンにつなげればファイルの削除はできると思う。
次に、ファイルのチェック。c:\ 、c:\windows、c:\windows\system32 等の
いくつかのシステムディレクトリや、c:\Document and Settings\"アカウント名"\以下のディレクトリ、
c:\Document and Settings\All Users以下もだけども、その辺にウィルスが置かれていることも
多い。これもファイルのタイムスタンプが結構手がかりになる。
どこを見ればいいかというのは、沢山あるのでいちいちコメントで書ききれないので省略。
IEのキャッシュディレクトリなんかよくウィルスが置かれているけども、クライアント機の
話だからサーバーではどうかねぇ。
システムディレクトリにあるプログラムで、MS製やメーカー製のものは
基本的には署名が入っているので、プロパティを見てみるといい。
偽装する可能性もあるので完全には信用してはいけないけども。
署名がないのはウィルスの可能性が高い。
あとは、手動とちょっと違うけども、HijackThisを使って見つけるとか。
参考:HijackThisによるログの取得と、不正エントリの修正(fix)方法 [higaitaisaku.com]
OS起動時ではなくIEを使った時点で動作しはじめるみたいなマルウェアもあるのよ。
数年前にはやったなー。
とまぁ、いろいろ書いてみたけど、ファイルをチェックする方法では、
ウィルスに感染した時期を基準にHDD内を全部検索してみれば、
ウィルス感染した後のものがずらずら出てくるのよね。
経験では、BOT系のウィルスはCドライブに感染するものばかりで
D以下のドライブへの感染は見たことがないけど、例外は何事にもあると思うので注意。
あとは、TCP/IPのダンプ取って調べるとか、netstatで調べるとかあるけど、
netstatの使い方は「netstat ウィルス」あたりのキーワードでぐぐってねということで。
何がトリガーとなって起動するか分からないウィルスだと、最終手段は通信を
モニタリングして活動をチェックすることになりますね。
ファイルがウィルスかどうか判断するのは、リバースエンジニアリングするなどして
解析する話ですが、その辺になるとサーバー管理とかのレベルじゃないんで
やっぱりぐぐれかすということで。これはこれで話のネタとしては面白くて
これだけで本が書けるくらいというか、ここが一番面白いと思うのですが、
まぁ、セキュリティソフトのメーカーに怪しいファイルを検体として
送って調べてもらうのがいいんじゃないでしょうか。
ブートセクタ感染型は多分手動で調べるのは無理というか大変なので
素直にソフトを使ってくださいということで。
いやーあんまり参考にならないですね!
Re:発見する方法 (スコア:1)
たしかにこれは有用なんだけど、レジストリのキー自体を隠すやつもいるんで、そういう場合は発見は困難でしょう。
# その技術を使った有名なものはSony XCP rootkit
Re:発見する方法 (スコア:2, 参考になる)
というやり方はrootkitには対応できないですね。
その辺はもうrootkit検出ソフトを使ってくださいとしかいいようがないですね。
Windowsだと、Sysinternals(MSが買収)のRootkitRevealerとか、
セキュリティソフト各社が出してる検出ツールがありますね。
F-SecureがBlack Lightってツール出してて私も使ったことありますが
今見に行ったらどこにおいてあるか分からない……と思ったら、
アンチウィルスのソフトに統合しちゃったみたいですね。
あとは昨年トレンドマイクロがルートキットバスターを出していますね。
これは使ったことがないですが。他社も最近はrootkit検出を
アンチウィルスソフト本体に統合しているようですね。
この辺使って検出できないって話なら、HDDを取り外して
別のPCにつないでそちらでチェックするしかないですかねぇ。
今Wikipediaのページ [wikipedia.org]見てたら、その一番下にソフトへのリンクがありますね。
まぁ、ウィルス対策ソフト入れてるだけみたいな手抜き管理しないで
事前にきちんと侵入への対策とっていればそんな苦労することはないですね。
Re:発見する方法 (スコア:1)
Sophosの [sophos.co.jp]でした。こちらは今でもDLして使えます。
Re: (スコア:0)
本来、そういった侵入の対策をこそウィルス対策ソフトにやってほしいのですが。