パスワードを忘れた? アカウント作成
12701120 story
Windows

EMETを利用してEMETを無効化する手法、FireEyeが解説 13

ストーリー by headless
emet-mori 部門より
Microsoftの脆弱性緩和ツール EMET (Enhanced Mitigation Experience Toolkit) の機能を利用してEMETを無効化する手法について、FireEyeが詳細を解説している(FireEye Blogsの記事The Registerの記事WinBetaの記事)。

EMETでは保護するすべてのプロセスに emet.dll または emet64.dll を注入し、Windows APIの呼び出しをフックすることで重要なAPIを呼び出すコードの分析を行う。ただし、EMETの内部には注入したDLLをプロセスからアンロードするためのコードが含まれている。このコードにはDllMainから到達可能であり、ROP(Return Oriented Programming)ガジェットを用いて適切な引数を渡すことによりEMETを完全に無効化できるとのこと。

ブログ記事の後半では、過去にMicrosoftが対策を行ったEMETのバイパス/無効化手法が紹介されているが、今回の手法は過去のいずれの手法よりも簡単に実行可能であり、テストしたバージョン(4.1/5.1/5.2/5.2.0.1)のEMETすべてに有効だったという。なお、この問題はEMET 5.5で対策済みとなっている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by miyuri (33181) on 2016年02月28日 11時34分 (#2971984) 日記

    何故、わざわざフック解除の処理を入れたのか。

  • by minet (45149) on 2016年02月28日 12時49分 (#2971998) 日記

    お前の能力を使ってお前の能力を回避する!
    とか、中二病っぽいなw

    • by Anonymous Coward

      自分がね

      • by Anonymous Coward

        別に君のことを中二病と言ったわけじゃないのに…

  • by Anonymous Coward on 2016年02月28日 17時11分 (#2972075)

    自分のを確認したらバージョン4のままだった。危ない危ない。
    これって更新対象でいいんじゃないかな。

    • by Anonymous Coward

      部下が上司の人事を考えるのかい?

  • by Anonymous Coward on 2016年02月28日 20時33分 (#2972151)

    emetをアンロードするようなプロセスはクビだ

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...