☆☆トロイの木馬☆☆
Registry Prot,TrojanCheckのTipsでよく言われるのはWindowsUpdateの時には
常駐監視は切っておいて方がいいということくらいかなぁ。
WindowsUpdateではスタートアップの項目を沢山書き換えるから、ポップアップが
たくさん上がって煩わしい。Microsoftを無条件で信用する人は少ないけれど
WindowsUpdateでトロイを仕掛けようとはしないと思うから。それくらいは信じて
あげてもいいんじゃないかと。(勿論煩わしくなければオンにしておいていいと思うけど。)
あとはいざトロイが仕掛けられたときにあわてない為に、TrojanCheckの動作を確認しておくとか。
ttp://sh1204.sajthotellet.com/trojansimulator/
TrojanSimulatorはEicar Test VirusのBackdoor版といいますか、TrojanHunterの
CoderのMagnus Mischel氏が無料で提供してくれています。
もっともベーシックなBackdoorの動作をシミュレートする全く害の無いプログラムです。
悪意のあるプログラムが書き換えやすいスタートアップに関して日本語で詳しく
解説されているページを見つけました。素晴らしい解説だと思います。
ttp://www.geocities.jp/bruce_teller/security/leakytrojan.htm
余談ですが、トロイ隠すのにNTFSのADSを使う手法は古くから知られているけど、
何故か現実のTrojanerで使う人は少ない気がします。(別の手法を用いる人が多いかも。)
以下のサイトでもADSに関して詳しく解説されています。
ttp://www.diamondcs.com.au/index.php?page=archive&id=ntfs-streams
常駐監視は切っておいて方がいいということくらいかなぁ。
WindowsUpdateではスタートアップの項目を沢山書き換えるから、ポップアップが
たくさん上がって煩わしい。Microsoftを無条件で信用する人は少ないけれど
WindowsUpdateでトロイを仕掛けようとはしないと思うから。それくらいは信じて
あげてもいいんじゃないかと。(勿論煩わしくなければオンにしておいていいと思うけど。)
あとはいざトロイが仕掛けられたときにあわてない為に、TrojanCheckの動作を確認しておくとか。
ttp://sh1204.sajthotellet.com/trojansimulator/
TrojanSimulatorはEicar Test VirusのBackdoor版といいますか、TrojanHunterの
CoderのMagnus Mischel氏が無料で提供してくれています。
もっともベーシックなBackdoorの動作をシミュレートする全く害の無いプログラムです。
悪意のあるプログラムが書き換えやすいスタートアップに関して日本語で詳しく
解説されているページを見つけました。素晴らしい解説だと思います。
ttp://www.geocities.jp/bruce_teller/security/leakytrojan.htm
余談ですが、トロイ隠すのにNTFSのADSを使う手法は古くから知られているけど、
何故か現実のTrojanerで使う人は少ない気がします。(別の手法を用いる人が多いかも。)
以下のサイトでもADSに関して詳しく解説されています。
ttp://www.diamondcs.com.au/index.php?page=archive&id=ntfs-streams
|
|
|
a2 Freeの方は基本的にFile Scanerしか無いから、アーカイブフィイルをサポートしてくれる
ことには意味がある。アーカイブをサポートしてくれたらa2 Personal買うぞ、ゴラァ。って形で
脅せばサポートしてくれそうだけど。それとも、ドイツ人だから日本のAVでも献上しますか。。。。
a2のサイトを久しぶりに訪れたら随分セキュリティーサイトの
様相が整っていて驚いた。
今日見つけたa2FreeのちょっとしたTips
a2Freeをバックグランドでアップデートさせる方法と、ドライブをスキャンさせる方法。
ttp://forum.emsisoft.com/viewtopic.php?t=496&sid=609ab9dce2d586c8e96defb0fb4ac95e
オンラインのトロイスキャン
www.trojanscan.com/trojanscan/trojanscan.htm
以下のページもブックマークしておくととても便利だよ。
http://www.dozleng.com/updates/index.php?s=44713fbbf6728f97a96c9c601128c23c&act=calendar
ことには意味がある。アーカイブをサポートしてくれたらa2 Personal買うぞ、ゴラァ。って形で
脅せばサポートしてくれそうだけど。それとも、ドイツ人だから日本のAVでも献上しますか。。。。
a2のサイトを久しぶりに訪れたら随分セキュリティーサイトの
様相が整っていて驚いた。
今日見つけたa2FreeのちょっとしたTips
a2Freeをバックグランドでアップデートさせる方法と、ドライブをスキャンさせる方法。
ttp://forum.emsisoft.com/viewtopic.php?t=496&sid=609ab9dce2d586c8e96defb0fb4ac95e
オンラインのトロイスキャン
www.trojanscan.com/trojanscan/trojanscan.htm
以下のページもブックマークしておくととても便利だよ。
http://www.dozleng.com/updates/index.php?s=44713fbbf6728f97a96c9c601128c23c&act=calendar
常駐保護できるやつでみんなが使ってるのはTrojanCheckぐらいですか?
TauscanとかTrojanRemoverはスキャン機能だけ?
>>302
Tauscanは常駐保護する機能があります。
TrojanRemoverはスキャン機能だけだけど、トロイが書き換えやすい
レジストリ・エントリーもスキャンしてくれます。
軽い常駐保護だけのAnti TrojanならBO Clean(名前の由来はBack Orifice Clean)も
有名だけど、なんせ米軍も採用しているくらいだから。
残念ながら体験版が使えない。(いきなり購入しなくては駄目だから。)
eTrustというのpromotion版?
eTrustのエンジンVetもInoculateITもRepricable Malware(ウイルスやワーム)の
検出は非常に優秀なんだけど、
Non-Repricable Malware(バックドア、キーロガー、破壊プログラム)といった悪意の
あるプログラムの検出はKasperskyなんかに比べればあまり優秀ではない。
具体的に言えば、Unpacking Engineも優秀ではないし、Process Memory Scanも
装備されていないの。この分野にかけてはInoculateITのエンジンの方が少し優秀だけど。
TauscanとかTrojanRemoverはスキャン機能だけ?
>>302
Tauscanは常駐保護する機能があります。
TrojanRemoverはスキャン機能だけだけど、トロイが書き換えやすい
レジストリ・エントリーもスキャンしてくれます。
軽い常駐保護だけのAnti TrojanならBO Clean(名前の由来はBack Orifice Clean)も
有名だけど、なんせ米軍も採用しているくらいだから。
残念ながら体験版が使えない。(いきなり購入しなくては駄目だから。)
eTrustというのpromotion版?
eTrustのエンジンVetもInoculateITもRepricable Malware(ウイルスやワーム)の
検出は非常に優秀なんだけど、
Non-Repricable Malware(バックドア、キーロガー、破壊プログラム)といった悪意の
あるプログラムの検出はKasperskyなんかに比べればあまり優秀ではない。
具体的に言えば、Unpacking Engineも優秀ではないし、Process Memory Scanも
装備されていないの。この分野にかけてはInoculateITのエンジンの方が少し優秀だけど。
Trojan Checkはドイツ語で使い難ければSSM(System Safety Monitor)を
試してみれば?無料で英語だし、常駐機能の重要レジストリを監視する機能は殆ど
同じもんだから。
BO Cleanを使っているのはきっと私くらいのものでしょうね。有料だし、
仕事でセキュリティーに携わっているような人でもなければ存在さえ知らないかも。
BO Cleanの一番いい点はOne Licenseで自分の持っているすべてのPCにインストール
することが出来るのがとてもあり難いです。特に私のように5台も自宅にPCを持っている
ような人には。後は作者のKevin McAleavey氏によるサポートは、大手セキュリティーソフト
しか使ったことが無い人には信じられないくらい素晴らしいです。
TrojanCheck Version 5.0.4.1 Final
ttp://web.archive.org/web/20030201085731/http://www.wilders.org/downloads.htm
インターネットアーカイブで検索したら
TrojanCheck5と英語化パッチを
ダウンロードできた。
今さら遅いとは思いますが、
もし必要でしたら落としてみてください。
試してみれば?無料で英語だし、常駐機能の重要レジストリを監視する機能は殆ど
同じもんだから。
BO Cleanを使っているのはきっと私くらいのものでしょうね。有料だし、
仕事でセキュリティーに携わっているような人でもなければ存在さえ知らないかも。
BO Cleanの一番いい点はOne Licenseで自分の持っているすべてのPCにインストール
することが出来るのがとてもあり難いです。特に私のように5台も自宅にPCを持っている
ような人には。後は作者のKevin McAleavey氏によるサポートは、大手セキュリティーソフト
しか使ったことが無い人には信じられないくらい素晴らしいです。
TrojanCheck Version 5.0.4.1 Final
ttp://web.archive.org/web/20030201085731/http://www.wilders.org/downloads.htm
インターネットアーカイブで検索したら
TrojanCheck5と英語化パッチを
ダウンロードできた。
今さら遅いとは思いますが、
もし必要でしたら落としてみてください。
Patchfinder2試してみたので感想を↓
使 え な い で す 、 今のところ。
これだけじゃアレなんで詳しく書くと、
Patchfinder2はRootkitハッケソツール。
RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
もろに感染すると普通のアンチウィルスじゃ検出不可。
(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。
そのかわり未知のRootkitも発見可能・・・だと思われ。)
前置きはこの辺にして、まずOptix PRO v1.32を自爆インストール。
見事にPatchfinder2で感染を確認。
Antidoteでは検出不可。
Norton先生は体験版のインスコすら不可。(OptixがNorton先生を殺してしまう)
でここまでは良かったんだか、Patchfinder2は未完成部分多杉。
まずCUIなのでめんどくさい。
誤検出が多い。(スタートアップや常駐アプリが多いと駄目ぽ)
誤検出は設定変えればかなり防げそうだけど、
ソース書き換えてコンパイルしなきゃならんのでマンドクサ
以上体験レポートですた。(何度も再起動したりしてすげー時間かかってしまった)
参考にどぞ。
[Patchfinder2]
[1]ttp://rootkit.com/vault/joanna/rootkits_detection_with_patchfinder2.pdf
[2]ttp://www.rootkit.com/vault/joanna/patchfinder_w2k_2.11.zip
[1]は動作原理などのドキュメント
[2]は本体
使 え な い で す 、 今のところ。
これだけじゃアレなんで詳しく書くと、
Patchfinder2はRootkitハッケソツール。
RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
もろに感染すると普通のアンチウィルスじゃ検出不可。
(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。
そのかわり未知のRootkitも発見可能・・・だと思われ。)
前置きはこの辺にして、まずOptix PRO v1.32を自爆インストール。
見事にPatchfinder2で感染を確認。
Antidoteでは検出不可。
Norton先生は体験版のインスコすら不可。(OptixがNorton先生を殺してしまう)
でここまでは良かったんだか、Patchfinder2は未完成部分多杉。
まずCUIなのでめんどくさい。
誤検出が多い。(スタートアップや常駐アプリが多いと駄目ぽ)
誤検出は設定変えればかなり防げそうだけど、
ソース書き換えてコンパイルしなきゃならんのでマンドクサ
以上体験レポートですた。(何度も再起動したりしてすげー時間かかってしまった)
参考にどぞ。
[Patchfinder2]
[1]ttp://rootkit.com/vault/joanna/rootkits_detection_with_patchfinder2.pdf
[2]ttp://www.rootkit.com/vault/joanna/patchfinder_w2k_2.11.zip
[1]は動作原理などのドキュメント
[2]は本体
516 :名無しさん@お腹いっぱい。:04/02/16 18:39
同一スレ内の過去のレスを再度コピペすることに何の意味があるの?
アンカー付けるだけで充分だと思うが。
まとめサイトを作ってそこにコピペするならいざ知らず・・・。
こんな過疎スレを荒らしても仕方あるまいに・・・。
アンカー付けるだけで充分だと思うが。
まとめサイトを作ってそこにコピペするならいざ知らず・・・。
こんな過疎スレを荒らしても仕方あるまいに・・・。
>>317
>RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
>もろに感染すると普通のアンチウィルスじゃ検出不可。
>(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。
317さんこんにちわ。Rootkitはいつから次世代トロイの総称になったの?
いやまぁ、複製品を作らない悪意のあるプログラムという意味ではトロイなのかもしれないけど。
RootkitにはRootkitというジャンルがあるような。。。(いや、私がおかしいのか?)
いや、トロイにはもう興味があまり無いんだけど、WindowsのRootkitはまだまだ勉強中です。
Patchfinder2はトロイなどの悪意のあるプログラムを隠す、rootkitを発見してくれる
プログラムだよね。
317さんはどのRootkitをcompileしたの?私はH・DefenderとFU Rootkitしか使ったことが無いんだけど。
Patchfinder2は数少ないこれらの最新のRootkitも発見してくれる貴重なツールだと思うけど。
>Antidoteでは検出不可。
遠慮せずに今現在この地球上にあるどのAnti Virusソフトを使っても検出出来ないと言えばどうでしょう。
少なくとも私の実験ではOptix Proがそうなりました。これは知り合いのPCにトロイを仕掛けると時などに
特に有効なのかな。
>RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
>もろに感染すると普通のアンチウィルスじゃ検出不可。
>(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。
317さんこんにちわ。Rootkitはいつから次世代トロイの総称になったの?
いやまぁ、複製品を作らない悪意のあるプログラムという意味ではトロイなのかもしれないけど。
RootkitにはRootkitというジャンルがあるような。。。(いや、私がおかしいのか?)
いや、トロイにはもう興味があまり無いんだけど、WindowsのRootkitはまだまだ勉強中です。
Patchfinder2はトロイなどの悪意のあるプログラムを隠す、rootkitを発見してくれる
プログラムだよね。
317さんはどのRootkitをcompileしたの?私はH・DefenderとFU Rootkitしか使ったことが無いんだけど。
Patchfinder2は数少ないこれらの最新のRootkitも発見してくれる貴重なツールだと思うけど。
>Antidoteでは検出不可。
遠慮せずに今現在この地球上にあるどのAnti Virusソフトを使っても検出出来ないと言えばどうでしょう。
少なくとも私の実験ではOptix Proがそうなりました。これは知り合いのPCにトロイを仕掛けると時などに
特に有効なのかな。