アカウント名:
パスワード:
セキュアじゃねー、検出手段がねぇー、他依存しなきゃだめ
おらこんなLinuxやだぁ~こんなLinuxやだぁWindows使って東京でベコかうだぁ
はっ!
apiフックして検出されないようにするなんてごく当たり前の技術だから・・・Windowsでも同じ
それは正確ではない。WindowsではAPIレベルのフック程度ではこの手のウイルスの検知可能です。
Windowsでも困難なのは、システムモジュールを正規にコールしてメモリー上に起動できた段階で、メモリー上に起動している正規のモジュールを不正プログラムに差し替える行為です。
見た目実行体のハッシュ値が正規と全く同じなので、ハッシュレベルでマルウェアやウイルス検査しているセキュリティ対策ソフトは全く検知できない。(最近のエモテットやランサムウェアはこの手の差し替え行為で内部ネットワーク侵入している)
ぶっちゃけ、端末に入れるレベルのセキュリティ対策ソフトでは、この手の検知がほぼ検知不可なので、ネットワークスキャナーや次世代ファイアウォールで通信を監視してないと難しい。
それでもWindowsはLD_PRELOAD相当がない点でちょっと違う。代わりに、へたするとPATH環境変数やカレントディレクトリまで探すという、別のやばさがある。
全プロセスに仕掛けるのは難しいが、特定アプリを狙うのなら一長一短な具合だと思う。
へたするとPATH環境変数やカレントディレクトリまで探すという、別のやばさがある。
つってもおまかんでないなら探す順序はc:\windows\system32c:\windows\sysWow64アプリ等のカレントディレクトリPATH環境変数だから大した問題ではないかな
アプリが呼んでるライブラリと同名の悪意あるファイルをアプリディレクトリに置いてもシステムディレクトリにある同名ライブラリが優先されるのが今のWindowsの標準
アプリ事態が元々悪事働くならそもそもこの話の外だしアプリのスタティックライブラリが侵されているのもこの話の外だしシステムディレクトリが侵されているなら最早なんでもアリなわけで
同意。カレントディレクトリとPATHは優先度がとても低いのでだいたい問題ないことを大変大雑把に「へたしたら」という表現にした。カレントディレクトリよりEXEのあるフォルダが先に検索されるので、アプリ固有のDLLだってEXEと同じフォルダに置けば問題ない。
> ベコかうだぁ DELLのPCを買うってことですね。
gateway [gateway.com]じゃなくて?
すみません間違えました...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
だからSELinuxを有効にしろといっただぁ (スコア:0)
セキュアじゃねー、検出手段がねぇー、
他依存しなきゃだめ
おらこんなLinuxやだぁ~こんなLinuxやだぁ
Windows使って東京でベコかうだぁ
はっ!
Re: (スコア:0)
apiフックして検出されないようにするなんてごく当たり前の技術だから・・・Windowsでも同じ
Re: (スコア:0)
それは正確ではない。
WindowsではAPIレベルのフック程度ではこの手のウイルスの検知可能です。
Windowsでも困難なのは、システムモジュールを正規にコールして
メモリー上に起動できた段階で、メモリー上に起動している正規の
モジュールを不正プログラムに差し替える行為です。
見た目実行体のハッシュ値が正規と全く同じなので、ハッシュレベルで
マルウェアやウイルス検査しているセキュリティ対策ソフトは全く検知
できない。(最近のエモテットやランサムウェアはこの手の差し替え行
為で内部ネットワーク侵入している)
ぶっちゃけ、端末に入れるレベルのセキュリティ対策ソフトでは、この手の
検知がほぼ検知不可なので、ネットワークスキャナーや次世代ファイアウォ
ールで通信を監視してないと難しい。
Re: (スコア:0)
それでもWindowsはLD_PRELOAD相当がない点でちょっと違う。代わりに、へたするとPATH環境変数やカレントディレクトリまで探すという、別のやばさがある。
全プロセスに仕掛けるのは難しいが、特定アプリを狙うのなら一長一短な具合だと思う。
Re: (スコア:0)
へたするとPATH環境変数やカレントディレクトリまで探すという、別のやばさがある。
つってもおまかんでないなら探す順序は
c:\windows\system32
c:\windows\sysWow64
アプリ等のカレントディレクトリ
PATH環境変数
だから大した問題ではないかな
アプリが呼んでるライブラリと同名の悪意あるファイルをアプリディレクトリに置いてもシステムディレクトリにある同名ライブラリが優先されるのが今のWindowsの標準
アプリ事態が元々悪事働くならそもそもこの話の外だし
アプリのスタティックライブラリが侵されているのもこの話の外だし
システムディレクトリが侵されているなら最早なんでもアリなわけで
Re: (スコア:0)
同意。カレントディレクトリとPATHは優先度がとても低いのでだいたい問題ないことを大変大雑把に「へたしたら」という表現にした。カレントディレクトリよりEXEのあるフォルダが先に検索されるので、アプリ固有のDLLだってEXEと同じフォルダに置けば問題ない。
Re: (スコア:0)
> ベコかうだぁ
DELLのPCを買うってことですね。
Re: (スコア:0)
gateway [gateway.com]じゃなくて?
Re: (スコア:0)
すみません間違えました...