[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:01429] 恐怖の rootkit
- To: "port139@xxxxxxxxxx" <port139@xxxxxxxxxx>
- Subject: [port139:01429] 恐怖の rootkit
- From: Tanaka Souji <souta3@xxxxxxxxxxxxxx>
- Date: Tue, 30 Jul 2002 10:42:23 +0900
ども。皆様 夏休みでしょうか...
翔泳社の Security Magazine を購入しました。office 氏の
新連載など興味深く読ませていただいたのですが、特別企画
として「恐怖の rootkit」という記事が掲載されております。
それなりに面白い記事なのですが、その中で幾つか疑問に感じ
た箇所がございます。
(1)NT rootkit
P89 より引用
NT rootkit は cmd.exe というファイルを利用して Windows 上の
任意のコマンドを実行します。
という基準があるのですが、不正アクセス調査ガイドを読んだり、
この特集内の記事を読む感じでは、カーネルモードのデバイスド
ライバとして実行され、cmd.exe はインストール時に利用される
程度でないかと思うのですが、NT rootkit は cmd.exe を何かに
利用しているのでしょうか?
(2)Tripwire コマンド
P94 に/usr/sbin/twprint -m r -r t0rn.twr というコマンドを
利用して詳細な整合性チェックを行い被害状況を把握するような
記述があるのですが、このコマンドはレポートファイルを表示す
るものですよね?
不正アクセス調査ガイドに上記と同じコマンドの実行例が記さ
れていますが、そちらでは t0rn を検出した際のレポートを表
示するのに利用されています。
また、復旧手順で Tripwire を利用する手法も、不正アクセス
調査ガイドとは異なる?内容になっているのですが...いずれが
正しいのでしょうか?
#OS の再インストール時にはベースラインデータベースの作成
#は不要ですよね、そもそも本文中でも初期化せずに--check を
#実行している時点で誤りだと思うのですが...
編集部へ質問すべき事柄かとも思いましたが、私が勘違いしてい
る可能性も高いので皆様のコメントいただければ幸いです。
--
Tanaka Souji <souta3@xxxxxxxxxxxxxx>