2005年03月04日
RootkitRevealer
こちらで、Windows用のrootkitチェックツールが紹介されていましたので、
さっそく、遊んでみました。
SysinternalsがWindows版rootkitを検出する無償ツールを公開
ひとまず、紹介文を読み限りでは、まだ、検知漏れがあるなど、発展途上に
あるツールのようですが、リモートからのチェックも可能なようですので、
今後のバージョンアップには期待できるのではないかと思います。
●機能
現在の機能的には、このようなモノがあるようです。
内容としては、APIを通して書き込まれたデータと実際に書き込まれたデータの
チェック機能と隠し領域のチェック機能と言うところでしょうか?
まだまだ、足りないという感じですね。 kernel空間のチェックとか。
・Hidden from Windows API.
・Access is Denied.
・Windows API length not consistent with raw hive data.
・Key name contains embedded nulls.
・Data mismatch between Windows API and raw hive data.
●実験
そして、早速実験してみました。
う〜ん、走らせて終わりっすね。
なぜなら、rootkit 持ってないから、何も検知されないため。(ノД`)シクシク
残念!
- Permalink
- by noritsuna
- at 11:02
