• 本文
• リロード
• 差分
• バックアップ
• 名前変更
• リファラ
• 新規ページ
• 編集

不正プログラム

ルートキット

Top / ルートキット

システムへのログイン経路を確保した後に、侵入の隠ぺいや、さらなる情報窃取のために、設置されるツール群のこと

• ログイン、プロセスの隠ぺい
• ファイルやログの隠ぺい・削除
• バックドア?の作成
• パケット、キー入力?を窃取

検出ツール

Windows

• GMER?
• Rootkit Revealer? (Microsoft)
• Rootkit Buster? (TrendMicro?)
• McAfee Rootkit Detective?
• WinDbg

Linux

• RootkID?
• chkrootkit
• Rootkit Hunter

分類

• ステルスマルウェア? - ユーザーの同意なしに、システム・OSの挙動を変更し、情報の隠ぺい を行うソフトウェア（マルウェア）

関連

• DKOM - Direct Kernel Object Manipulation
• KOH - Kernel Object Hooking
• SSDTフッキング
• IRPフッキング
• コードインジェクション?

カーネルの書き換え

• カーネルを書き換えるだけで、すべてのプロセスのシステムコールの利用に干渉できる！

• CreateProcessを監視する
  • プロセスの生成を監視
• RegQueryValueEx?を監視する
  • レジストリの読み取りを監視
• PID x を指定したOpenProcessの結果をFALSEに
  • プロセス操作拒否
• 列挙（Enum?）系関数の結果の一部を飛ばす
  • 列挙からの隠蔽?

PDF

• http://www.st.rim.or.jp/~shio/sa/sa2005_shio.pdf

参考

• http://www.fourteenforty.jp/research/research_papers/bh-japan-08-Murakami.pdf
• http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf