アカウント名:
パスワード:
Linux であろうと Windows であろうとルートキット検出は、クリーンな環境から検査対象ドライブをマウントしてフルスキャンをかけるのが望ましいでしょう。
仮想化等で使用ストレージ側にスナップショットを取得する機能があり、他の仮想マシンからマウントできる環境なら、本番環境を止めずにできたと思います。検査環境がストレージ上スナップショットを iSCSI でマウントできなくても、仮想環境でローカルディスク扱いにできるでしょう。
# その手のことをやっていたのはもう 6年以上前なので記憶は少し曖昧ですが
物理マシンなら止めて USB メモリからの起動するのが楽です。許容されるなら。Kaspersky Rescue Disk を使っていました。最新版は krd18 [kaspersky.co.jp]かな。ReFS には対応していない気がする。
ルートキットの性能次第だけど通常はファイルアクセスができないぐらいだろうから、dd とかでディスクイメージを検査環境に転送してできるかもしれない。ファイルシステムの機能も使えるかもしれないが zfs send 的な機能を持っているものはあるんだろうか。ググると btrfs send というのはあるみたいだけど。
当然ですが検査環境では検査できるだけで駆除は本番環境を止めないと難しいです。削除すべきファイルがわかっていれば、Linux ならスタティックリンクのコマンドでとか、いっそのことシステムコールしか使っていないプログラムを書いて、削除するくらいはできるかもですが、常識的に考えて侵入されていることがわかったら止めるべきでしょうね。
それでもBIOSに感染するのとかあるので、完璧では無いという辛み
許容されるなら。Kaspersky Rescue Disk を使っていました。最新版はかな。
ロシア的に最新版ではないほうが安全かもしれないですね
苦笑するところ。昔はよかったというべき近頃重いなあとは思っていたが、競合国になってしまったことで、そのへんがいよいよ、軒並みダメになった
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
高性能ルートキット対策は必要 (スコア:3)
Linux であろうと Windows であろうとルートキット検出は、クリーンな環境から検査対象ドライブをマウントしてフルスキャンをかけるのが望ましいでしょう。
仮想化等で使用ストレージ側にスナップショットを取得する機能があり、他の仮想マシンからマウントできる環境なら、本番環境を止めずにできたと思います。検査環境がストレージ上スナップショットを iSCSI でマウントできなくても、仮想環境でローカルディスク扱いにできるでしょう。
# その手のことをやっていたのはもう 6年以上前なので記憶は少し曖昧ですが
物理マシンなら止めて USB メモリからの起動するのが楽です。許容されるなら。Kaspersky Rescue Disk を使っていました。最新版は krd18 [kaspersky.co.jp]かな。ReFS には対応していない気がする。
ルートキットの性能次第だけど通常はファイルアクセスができないぐらいだろうから、dd とかでディスクイメージを検査環境に転送してできるかもしれない。ファイルシステムの機能も使えるかもしれないが zfs send 的な機能を持っているものはあるんだろうか。ググると btrfs send というのはあるみたいだけど。
当然ですが検査環境では検査できるだけで駆除は本番環境を止めないと難しいです。削除すべきファイルがわかっていれば、Linux ならスタティックリンクのコマンドでとか、いっそのことシステムコールしか使っていないプログラムを書いて、削除するくらいはできるかもですが、常識的に考えて侵入されていることがわかったら止めるべきでしょうね。
Re:高性能ルートキット対策は必要 (スコア:1)
それでもBIOSに感染するのとかあるので、完璧では無いという辛み
Re: (スコア:0)
許容されるなら。Kaspersky Rescue Disk を使っていました。最新版はかな。
ロシア的に最新版ではないほうが安全かもしれないですね
Re: (スコア:0)
苦笑するところ。昔はよかったというべき
近頃重いなあとは思っていたが、競合国になってしまったことで、そのへんがいよいよ、軒並みダメになった