[port139:00442] Re: [port139:00441] オフラインでの整合性チェック

[Yasuyuki Horikoshi <holly@xxxxxxxxxxxxxxxxx>]

こんばんは、堀越です。

On Sun, 05 Aug 2001 23:07:50 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:

> 2)チェックできないケース
> 
> 例えば、NTrootkit[3]では、ファイルやディレクトリに _root_ というファイ
> ル名が付与されている場合、それらのファイルがエクスプローラなどで表示し
> ないようにする機能が含まれている。
> このファイルを隠す機能は、カーネルモードのドライバで実現されている為、
> ユーザーモードで実行されている整合性チェックアプリケーションは NTrootkit
> の影響によりファイルシステムの正常な状態を確認することができない。

これ今ダウンロードして見ている最中なんですが、どうも Win32サブシステムと
カーネルモードの間で動いているように見えるです。
cf]
Kernel32.dll の CreateFile() → ntdll.dll の NtCreateFile()
となるところを
Kernel32.dll の CreateFile() → _root_.sys の _NewNtCreateFile()
とフックしているように見えるです。(あくまでバイナリレベルでエクスポート
・インポートしてる関数を見ただけなんで推測です)
おそらく、_root_.sys の _NewNtCreateFile() は ntdll.dll の NtCreateFile
() の単なるラッパだと思っているです(これも推測)。
で、その辺のことを確かめようと思ってソースをダウンロードしようとしたんで
すが．．．
CVS でチェックアウトするしかないんですかね。これ。
しかも CVS で anonymous で入ろうとするとハジかれるし。
誰かソース持ってる人、もしくはダウンロードに成功した人いませんか？

p.s.いや、この話題が「目の前の rootkit にどう対抗するか」という趣旨では
ないことは判ってるんですけど。うぅ、でも確かめたい。

 -----
堀越<holly@xxxxxxxxxxxxxxxxx>