「ルートキット」の版間の差分
提供: セキュリティ
| 行1: | 行1: | ||
| − | |||
| − | |||
| − | |||
| − | |||
[[ルートキット]]は、コンピュータに不正侵入を行った攻撃者が、以下の目的を果たすために、一連のソフトウェアをまとめたパッケージです。 | [[ルートキット]]は、コンピュータに不正侵入を行った攻撃者が、以下の目的を果たすために、一連のソフトウェアをまとめたパッケージです。 | ||
| − | 読み方 | + | '''読み方''' |
;[[ルートキット]]:るーときっと | ;[[ルートキット]]:るーときっと | ||
;rootkit (root kit):るーときっと | ;rootkit (root kit):るーときっと | ||
| 行11: | 行7: | ||
== 概要 == | == 概要 == | ||
| − | |||
[[ルートキット]]は、コンピュータに不正侵入を行った攻撃者が、以下の目的を果たすために、一連のソフトウェアをまとめたパッケージです。 | [[ルートキット]]は、コンピュータに不正侵入を行った攻撃者が、以下の目的を果たすために、一連のソフトウェアをまとめたパッケージです。 | ||
| 行24: | 行19: | ||
* システムコールをフックする | * システムコールをフックする | ||
| − | [[ルートキット]] は、既存のコマンドをすり替えたり、[[バックドア]] を仕掛ける | + | [[ルートキット]] は、既存のコマンドをすり替えたり、[[バックドア]] を仕掛ける アプリケーションルートキット(Application Rootkit) と カーネルレベルで動作する [[カーネルルートキット]] (Kernel Rootkit) があります。 |
| − | + | ||
カーネルレベルで動作するカーネルルートキット( Kernel Rootkit ) が使用された場合、ディレクトリ情報を操作される場合、ファイルの変更を[[Tripwire]] で検出できません。 | カーネルレベルで動作するカーネルルートキット( Kernel Rootkit ) が使用された場合、ディレクトリ情報を操作される場合、ファイルの変更を[[Tripwire]] で検出できません。 | ||
| − | |||
== ルートキット == | == ルートキット == | ||
| − | |||
* [[FU Rootkit]] | * [[FU Rootkit]] | ||
* [[T0rn]] | * [[T0rn]] | ||
* [[Hacker Defender]] | * [[Hacker Defender]] | ||
* [[Alureon]] | * [[Alureon]] | ||
| − | |||
== 検出方法 == | == 検出方法 == | ||
| − | |||
[[ルートキット]]が動作している環境で、[[ルートキット]]を検出するのは、難しいです。 | [[ルートキット]]が動作している環境で、[[ルートキット]]を検出するのは、難しいです。 | ||
[[ルートキット]]が動作しているシステムは、今動作しているオペレーティングシステム自体が信用できません。 | [[ルートキット]]が動作しているシステムは、今動作しているオペレーティングシステム自体が信用できません。 | ||
| 行45: | 行35: | ||
# 感染の疑いのあるシステムをシャットダウンする | # 感染の疑いのあるシステムをシャットダウンする | ||
# システムで使用していないメディア(CD-ROM/DVD-ROM/USBメモリなど)を利用し、対象システムのストレージを検査する。 | # システムで使用していないメディア(CD-ROM/DVD-ROM/USBメモリなど)を利用し、対象システムのストレージを検査する。 | ||
| − | |||
== ルートキット検出プログラム == | == ルートキット検出プログラム == | ||
| − | |||
[[ルートキット検出プログラム]]の例は、以下の通りです。 | [[ルートキット検出プログラム]]の例は、以下の通りです。 | ||
| − | |||
=== Unix 系 === | === Unix 系 === | ||
* [[chkrootkit]] | * [[chkrootkit]] | ||
* [[rkhunter]] | * [[rkhunter]] | ||
| − | |||
=== Windows 系 === | === Windows 系 === | ||
| − | |||
* [[RootkitRevealer]] | * [[RootkitRevealer]] | ||
シェアウェア | シェアウェア | ||
* F-Secure [[Blacklight]] | * F-Secure [[Blacklight]] | ||
| − | |||
== ルートキットの入手 == | == ルートキットの入手 == | ||
| − | |||
[[ルートキット]]は、インターネットで入手できます。 | [[ルートキット]]は、インターネットで入手できます。 | ||
| − | |||
== 関連項目 == | == 関連項目 == | ||
| − | |||
* [[マルウェア]] | * [[マルウェア]] | ||
* [[コンピュータウイルス]] | * [[コンピュータウイルス]] | ||
| 行73: | 行54: | ||
* [[logwatch]] | * [[logwatch]] | ||
* [[ファイル改竄検知]] | * [[ファイル改竄検知]] | ||
| + | <!-- vim: filetype=mediawiki | ||
| + | --> | ||
2016年1月11日 (月) 21:13時点における版
ルートキットは、コンピュータに不正侵入を行った攻撃者が、以下の目的を果たすために、一連のソフトウェアをまとめたパッケージです。
読み方
- ルートキット
- るーときっと
- rootkit (root kit)
- るーときっと
概要
ルートキットは、コンピュータに不正侵入を行った攻撃者が、以下の目的を果たすために、一連のソフトウェアをまとめたパッケージです。
- 侵入を隠蔽するためにログを改竄するツール
- システム管理者に侵入を気づかれなくするために改竄したシステムコマンド群
- 再び侵入するためのバックドアのツール
侵入を検知させない改竄されたシステムコマンドの例として、 ps や w などのコマンドです。
ルートキットには、カーネルレベルとアプリケーションレベルがあります。
- デバイスドライバやローダブルモジュールに新しいコードを追加する
- システムコールをフックする
ルートキット は、既存のコマンドをすり替えたり、バックドア を仕掛ける アプリケーションルートキット(Application Rootkit) と カーネルレベルで動作する カーネルルートキット (Kernel Rootkit) があります。
カーネルレベルで動作するカーネルルートキット( Kernel Rootkit ) が使用された場合、ディレクトリ情報を操作される場合、ファイルの変更をTripwire で検出できません。
ルートキット
検出方法
ルートキットが動作している環境で、ルートキットを検出するのは、難しいです。 ルートキットが動作しているシステムは、今動作しているオペレーティングシステム自体が信用できません。
もっとも最良なルートキット検出方法は、以下の手順です。
- 感染の疑いのあるシステムをシャットダウンする
- システムで使用していないメディア(CD-ROM/DVD-ROM/USBメモリなど)を利用し、対象システムのストレージを検査する。
ルートキット検出プログラム
ルートキット検出プログラムの例は、以下の通りです。
Unix 系
Windows 系
シェアウェア
- F-Secure Blacklight
ルートキットの入手
ルートキットは、インターネットで入手できます。