[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00517] Re: バックドアの隠し場所



ども、根暗井です ^^)

From: Toshiboumi bugbird Ohta
Date: 2001/06/22 13:29:36
Subject: [stalk:00512] Re: バックドアの隠し場所

> それから、メモリもやたら広くなっているから、「隠し
>RAM ディスク」というのもありかも。
>
> 『おかしーなー。100 MB くらいメモリリークしてる?』
>
>なんて悩んでいたら、ぢつわクラッカ御用達だったりして。

Windows Memory-leak Error (略して WindowsME) ならあるかも :-)


・・・これだけでは単なるチャチャなのでちょっと真面目に。

NT 系の OS だと cmd.exe がありますが、これと同じディレクトリ内に
適当なソフトを cmd.com とでもリネームしてぶち込んでおくというのは
反則ですか?  もちろん exe file でも全然 OK。

# DOS 系の OS は拡張子が com か exe かなんて起動順序にちょっと
# 影響がある程度で、実際には先頭の 2byte しか見てないし...

## こんないいかげんな製品はないと思うけど、仮にウイルスチェック
## ソフトで hybris のチェックを拡張子が exe のものだけしか
## 見ないなんていう設定で売ってるのがあると怖い。誰かがちょっと
## 書き換えて拡張子を com で送り出しただけでチェックをすり抜ける。


置き場所、というよりも名前の偽装の仕方の話にしてしまうと...
・昔の DOS のコマンド、例えば edlin とか dosshellとかいう名前
・unix のコマンド、例えば traceroot とかいう名前
あたりも人によっては引っかかるかも (誰も引っかからないって???)

                                        By  根暗井
------- 根暗井 == 櫻井 -------- (E-mail : nekurai@xxxxx) -------
NT 系で c:\command.com って盲点にならないかなぁ。 ならないか ^^;
----------------------------------------------------------------
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
  インフォシーク株価に新機能登場!!【銘柄条件検索】ってなにもの?? 
  http://stock.infoseek.co.jp/Stock?pg=stock_top.html&sv=ST&svx=971122