「ルートキット」の版間の差分

提供: セキュリティ
移動: 案内検索
 
(同じ利用者による、間の1版が非表示)
行19: 行19:
 
* システムコールをフックする
 
* システムコールをフックする
  
[[ルートキット]] は、既存のコマンドをすり替えたり、[[バックドア]] を仕掛ける アプリケーションルートキット(Application Rootkit) と カーネルレベルで動作する [[カーネルルートキット]] (Kernel Rootkit) があります。
+
[[ルートキット]] は、既存のコマンドをすり替えたり、[[バックドア]] を仕掛ける アプリケーションルートキット(Application Rootkit) と カーネルレベルで動作する '''カーネルルートキット''' (Kernel Rootkit) があります。
  
 
カーネルレベルで動作するカーネルルートキット( Kernel Rootkit ) が使用された場合、ディレクトリ情報を操作される場合、ファイルの変更を[[Tripwire]] で検出できません。
 
カーネルレベルで動作するカーネルルートキット( Kernel Rootkit ) が使用された場合、ディレクトリ情報を操作される場合、ファイルの変更を[[Tripwire]] で検出できません。
 
== ルートキット ==
 
== ルートキット ==
* [[FU Rootkit]]
+
* FU Rootkit
* [[T0rn]]
+
* T0rn
* [[Hacker Defender]]
+
* Hacker Defender
* [[Alureon]]
+
* Alureon
 
== 検出方法 ==
 
== 検出方法 ==
 
[[ルートキット]]が動作している環境で、[[ルートキット]]を検出するのは、難しいです。
 
[[ルートキット]]が動作している環境で、[[ルートキット]]を検出するのは、難しいです。
行36: 行36:
 
# システムで使用していないメディア(CD-ROM/DVD-ROM/USBメモリなど)を利用し、対象システムのストレージを検査する。
 
# システムで使用していないメディア(CD-ROM/DVD-ROM/USBメモリなど)を利用し、対象システムのストレージを検査する。
 
== ルートキット検出プログラム ==
 
== ルートキット検出プログラム ==
[[ルートキット検出プログラム]]の例は、以下の通りです。
+
''ルートキット検出プログラム'' の例は、以下の通りです。
 
=== Unix 系 ===
 
=== Unix 系 ===
 
* [[chkrootkit]]
 
* [[chkrootkit]]
 
* [[rkhunter]]
 
* [[rkhunter]]
 
=== Windows 系 ===
 
=== Windows 系 ===
* [[RootkitRevealer]]
+
* RootkitRevealer
  
 
シェアウェア
 
シェアウェア
* F-Secure [[Blacklight]]
+
* F-Secure Blacklight
 
== ルートキットの入手 ==
 
== ルートキットの入手 ==
 
[[ルートキット]]は、インターネットで入手できます。
 
[[ルートキット]]は、インターネットで入手できます。
行51: 行51:
 
* [[コンピュータウイルス]]
 
* [[コンピュータウイルス]]
 
* [[ウイルス対策ソフト]]
 
* [[ウイルス対策ソフト]]
* [[Linux Kernel Rootkits]]
+
* Linux Kernel Rootkits
 
* [[logwatch]]
 
* [[logwatch]]
 
* [[ファイル改竄検知]]
 
* [[ファイル改竄検知]]
 
<!-- vim: filetype=mediawiki
 
<!-- vim: filetype=mediawiki
 
-->
 
-->

2016年1月15日 (金) 00:45時点における最新版

ルートキットは、コンピュータに不正侵入を行った攻撃者が、以下の目的を果たすために、一連のソフトウェアをまとめたパッケージです。

読み方

ルートキット
るーときっと
rootkit (root kit)
るーときっと

概要

ルートキットは、コンピュータに不正侵入を行った攻撃者が、以下の目的を果たすために、一連のソフトウェアをまとめたパッケージです。

  • 侵入を隠蔽するためにログを改竄するツール
  • システム管理者に侵入を気づかれなくするために改竄したシステムコマンド群
  • 再び侵入するためのバックドアのツール

侵入を検知させない改竄されたシステムコマンドの例として、 ps や w などのコマンドです。

ルートキットには、カーネルレベルとアプリケーションレベルがあります。

  • デバイスドライバやローダブルモジュールに新しいコードを追加する
  • システムコールをフックする

ルートキット は、既存のコマンドをすり替えたり、バックドア を仕掛ける アプリケーションルートキット(Application Rootkit) と カーネルレベルで動作する カーネルルートキット (Kernel Rootkit) があります。

カーネルレベルで動作するカーネルルートキット( Kernel Rootkit ) が使用された場合、ディレクトリ情報を操作される場合、ファイルの変更をTripwire で検出できません。

ルートキット

  • FU Rootkit
  • T0rn
  • Hacker Defender
  • Alureon

検出方法

ルートキットが動作している環境で、ルートキットを検出するのは、難しいです。 ルートキットが動作しているシステムは、今動作しているオペレーティングシステム自体が信用できません。

もっとも最良なルートキット検出方法は、以下の手順です。

  1. 感染の疑いのあるシステムをシャットダウンする
  2. システムで使用していないメディア(CD-ROM/DVD-ROM/USBメモリなど)を利用し、対象システムのストレージを検査する。

ルートキット検出プログラム

ルートキット検出プログラム の例は、以下の通りです。

Unix 系

Windows 系

  • RootkitRevealer

シェアウェア

  • F-Secure Blacklight

ルートキットの入手

ルートキットは、インターネットで入手できます。

関連項目