最終更新:2013-07-14 (日) 20:48:29 (3911d)
ルートキット
Top / ルートキット
システムへのログイン経路を確保した後に、侵入の隠ぺいや、さらなる情報窃取のために、設置されるツール群のこと
検出ツール
Windows
Linux
- RootkID?
- chkrootkit
- Rootkit Hunter
分類
- ステルスマルウェア? - ユーザーの同意なしに、システム・OSの挙動を変更し、情報の隠ぺい を行うソフトウェア(マルウェア)
関連
- DKOM - Direct Kernel Object Manipulation
- KOH - Kernel Object Hooking
- SSDTフッキング
- IRPフッキング
- コードインジェクション?
カーネルの書き換え
- カーネルを書き換えるだけで、すべてのプロセスのシステムコールの利用に干渉できる!
- CreateProcessを監視する
- プロセスの生成を監視
- RegQueryValueEx?を監視する
- レジストリの読み取りを監視
- PID x を指定したOpenProcessの結果をFALSEに
- プロセス操作拒否
- 列挙(Enum?)系関数の結果の一部を飛ばす
- 列挙からの隠蔽?