パスワードを忘れた? アカウント作成
Close
9793 story

Windows用のRootkitを検出・削除できる「F-Secureブラックライト」 35

ストーリー by wakatono
いたちごっこの輪を断ち切れるか? 部門より

darkhorse 曰く、 "livedoor コンピュータのニュースによると、エフ・セキュアは従来のセキュリティ製品では検出できないWindows用のRootkitを検出・削除することができる次世代侵入防止技術「F-Secureブラックライト」を開発したとのこと。組み込まれたファイルやプロセスを表示しないタイプのRootkitに対しても有効で、米国時間の2005年3月10日よりベータ版をダウンロードして試用できるらしい。"

Rootkitといっても単なるツールレベルのものからカーネルRootkitまでいろいろある。blacklightでどこまで検出できるのか、そしてblacklightでも検出できないRootkitがいつ出てくるのか、両方気になる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows用のRootkitを検出・削除できる「F-Secureブラックライト」 More

  • F-Secureって (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2005年03月10日 4時53分 (#706725)
    セキュリティホールを増やすアンチウイルスソフトを発売したり、vodafone の 702NKに bluetooth 経由でウイルス感染したなどという戯言を平気で発表したりと、セキュリティ関連業界では「信用できない」という定評がついちゃったメーカですな。

    • Re:F-Secureって (スコア:2)

      by Henrich (121) on 2005年03月10日 23時56分 (#707254)
      どこにそんな定評があるんでしょうか。

      >セキュリティホールを増やすアンチウイルスソフトを発売したり

      Antivirus に脆弱性があったことを言ってるのでしょうが、これを利用しての侵入は確認されていないでしょう?
      セキュリティ関連製品であっても、脆弱性の存在はありうるのもソフトウェアであれば逃れられないことでしょう。
      問題は、その対応がどのようになっているのかの部分ではないのかな。

      それに bluetooth のウィルスの話にしても、
      F-secure の blog [f-secure.com] を見ても 3/5 のエントリの追記として

      Update on 7th of March: We removed the phone type from this entry
      as we can't confirm the exact model that was affected in this case --Mikko

      と削除した旨書いてあるのに。

      一部だけを取り上げて、さも自分の意見が大勢を占めるような書き方(「セキュリティ関連業界で」「定評がついちゃった」)
      というのはおかしいですな。
      シェア
      親コメント

      • Re:F-Secureって (スコア:0)

        by Anonymous Coward
        嫁さんの会社(それなりに名の売れたセキュリティベンダ)やその取引先で、日本に限らず F-Secure ってのは、ここ半年くらい評判わるいらしいので、その業界で「定評がある」ってのもあながち嘘とはいえないかも。
        一時ポカミスが連続して、イメージが悪くなり始めた時期があり、そのイメージ払拭のため、他のベンダが

    • Re:F-Secureって (スコア:0)

      by Anonymous Coward
      アンチウイルスソフトウェアを発売してる会社ってどこもこんな感じで目を覆うばかり。
      trendmicroしかり、Symantecしかり…。中国付近のいくつかの国のベンダーもいわずもがな。(なんで穴の残ったapacheいれんだよ,etc)

  • なぜ検出できない? (スコア:0)

    by Anonymous Coward on 2005年03月10日 9時44分 (#706779)
    Rootkitという言葉を初めて聞いて、ちょっと検索したら、
    スパイウエアみたいなものかなと思ったけど、なぜ従来の
    セキュリティーソフトだと検出できないのかが不思議。

    • Re:なぜ検出できない? (スコア:3, 参考になる)

      by ramsy (8353) on 2005年03月10日 10時20分 (#706807) ホームページ 日記
      スキャンソフトウェアが使うAPIよりももっとシステムレベルに割り込み、そこで偽装をされたらどうにもならないからです。
      # 感染しようとする時点で止めれなかった場合の話だとおもいます。
      --
      # rm -rf ./.
      シェア
      親コメント
      • もうちょっとするとCD-ROMからブートして、ハードディスクの
        ファイルをscanするようなものが出てくるのでしょうか。

        IntelやAMDが最近相次いでプロセッサに仮想化の機能を付けようと
        していますが、そうなるとVMMにrootkit scan機能を入れられるかも
        しれませんね。

        # でもVMMに脆弱性が見つかった場合には・・・
        • 確かに今の時点ではそのような物を提供してくれているベンダーはほぼないですね。でも、XPE(XPの組み込み版)かLinux(KNOPPIX等)使って作るのは可能ではないでしょうか。
          # SophosはDOS版だとそんな感じ(半年前の時点)でしたし、他社もDOSの世代にはあったんですが…

          VMM自身で、或いはその下で動くVirus/spyware/adware/rootkit監査/駆除システムですか。今後はその層に踏み込まないと難しいでしょうねぇ…
          --
          # rm -rf ./.
          シェア
          親コメント

          • Re:なぜ検出できない? (スコア:1)

            by kei100 (5854) on 2005年03月12日 1時24分 (#707846)
            ファイルシステムがFATなら、Nortonは可能だったかと思います
            が、ノートPCのドライブの調子が悪くて試せませんorz
            # ただし、CD-ROMに入っているパターンは古いのだ(==;
            シェア
            親コメント
          • で、最終的にはEFI [e-words.jp]レベルで動作する駆除システムが発表されて、そのまた裏をかいて、EFI firmwareに進入するウイルスが出てくると... :-)

            #いたちごっこだなぁ

  • 最近livedoorからの記事が増えた?(オフトピ) (スコア:0, オフトピック)

    by tokushima (155) on 2005年03月10日 11時25分 (#706844)
    最近、Livedoorのニュースやブログからのタレコミ、引用した書き込みが急増したように思うのですが、どう?
    やはりみなさん注目しているということでしょうかね。
    --
    It's not who is right, it's who is left.
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」