メンバーエリア情報
Crazy Doctor - オリジナル逆アセンブラ
Category: 中級編> 4) セキュリティ実験用ツール > Windowsアプリ
GUIベースの逆アセンブラです。 CrazyDoctorには以下のような特長があります。
- 1. コード参照元や、データ参照元にクリック一発でジャンプすることができます。(ウェブブラウザー上のリンクみたいな形で簡単に移動できるようになっています。)
- 2. コード中の移動履歴を保持するようになっているので、ボタン一発で先に進んだり戻ったりすることができます。
- 3. ユーザーが自由にコメントを挿入することができます。
- 4. 逆アセンブル時にWindows APIのパラメータ解析を自動的に行って、コメントとして挿入してくれます。
- 5. 逆アセンブル時に、関数を解析して、開始アドレスおよび終了アドレスをコメントとして挿入します。
..........................................
Keylogger Shield - キーロガー妨害コード
Category: 中級編> 4) セキュリティ実験用ツール > Windowsアプリ
Windows上で稼動するキーロガー(Keylogger)の大半はWindowsフックを使って実装されていると思いますが、このプログラムを使うと、キーロガーの動きを妨害し、正常にログを取れなくすることができます。
..........................................
VMWare - 仮想環境の構築
Category: 中級編> 4) セキュリティ実験用ツール > Windowsアプリ
仮想マシンとは?
仮想マシン( or 仮想PC ) とは、複数のオペレーティングシステムを 1 台の物理コンピュータ上で同時に実行させる技術で一種のエミュレータが、このようなことを可能にします。要は、物理的なPCをソフトウェア的にエミュレートしてその上でOSを動かすわけです。このようなエミュレータとして有名なものに商用ではVMWare, Virtual PC等が、オープンソース系では bochs, qemu なんかがあります。今回はこのVMWare のフリーバージョンである VMWare Player、VMWare Server というやつを使って仮想環境を構築していきます。
※結論から先に言っておくと、テスト・デバッグ目的で使用するなら、やはり製品版のVMWare WorkStation が一番使い勝手がいいです。フリーのやつを使わせておいて、やっぱWorkstation欲しいなぁと思わせるのが狙いだと思うので当たり前といえば当たり前ですけどね。
- 仮想マシンとは?
- 機能比較
- 仮想マシン作成
- ネットワーク構成
- OSのインストール
- VMWare Tools
- 基本操作
- 活用事例
-
- 危ないEXEのテスト
- リモートデバッグ環境
..........................................
Walking Dead ver1.00 - カーネルモード RootKit
Category: 中級編> 4) セキュリティ実験用ツール > Windowsアプリ
今回紹介するツールは、カーネルモード RootKit です。カーネルモード RootKit はその名の通り カーネルモードで動作するRootKit なので、デバイスドライバとして実装する必要があります。今回作成した カーネルモード RootKit はもっとも基本的なタイプのもので、システムコールをカーネルモードで フック ( 横取り? ) することで、プロセス隠蔽、ファイル隠蔽、レジストリエントリ隠蔽といった機能を実現しています。昨年末に大騒ぎになった某社の音楽CDに仕込まれたRootKitもほぼ同じような仕組みになっています。(実はあの有名なRegMon も同様の形で システムコールをフックしています。全く同じ技術なんですが使い方が違うと ... )
..........................................
Mimic ver1.00 - ユーザーモード RootKit
Category: 中級編> 4) セキュリティ実験用ツール > Windowsアプリ
RootKitとは?
RootKitっていうのは、簡単に言うと、侵入者が侵入に成功した後、システムへの侵入を検出されないようにする為のツールキットのようなもので、一般的にプロセス隠蔽、ファイル隠蔽等の機能を持ちます。RootKitという名前からも分かるように元々はUnix系OSの攻略に用いられていたわけですが、最近はWin用のものも広範に存在するようです。
※Windowsの場合はこれに加えてレジストリエントリの隠蔽等の機能を持つこともあるようです。
RootKitの種類
Windowsの場合RootKitはユーザーモードRootKitとカーネルモードRootKitの2種類に大別されます。
1. ユーザーモード RootKit
ユーザーモードレベル(所謂 Ring 3 という特権レベル。通常我々が書いているプログラムはこのレベルで 動作します)で動作し、Windows APIをフックして微妙に違う動作をさせてしまいます。 例えば特定のファイルを隠蔽する際には通常FindFirstFile、FindNextFileといったAPIをフックして、特定のファイル名を持つファイルが見つからないようにします。 カーネルモードRootKitに比べれば検出しやすいんですが、まあ一端ひっかかってしまうと検出するのはかなり困難です。エクスプローラで関係するファイルを検出することはできませんんし、Regedit を使ってレジストリエントリをチェックしても対応するエントリを見つけることはできませんからね。今回紹介するMimicはこのタイプのものです。
2. カーネルモード RootKit
カーネルモードレベル( Ring 0 という特権レベル ) で動作します。Ring 0 というとOSと同じレベルなので、Windows カーネルと直接やりとりすることができます。ユーザーモード RootKit の場合、Windows API をフックするわけですが、カーネルモード RootKit の場合には、対応するシステムコールをフックします。 (フックという手法を用いる点ではどちらも同じで、違いはフックを仕掛ける特権レベルにある ) 従ってある意味OS自体の改竄が発生するような状況になり、検出は非常に困難です。カーネルモードコンポーネントとして動作させるために、Windows の場合カーネルモードRootKit はデバイスドライバとして実装されます。
..........................................
Pickup
カレンダー
Valid XHTML & CSS
