リモートアドミンツールについて教えてください

人のパソコンを自由に操作するリモートアドミンツールというのは、人のパソコンをウイルスに感染させた後、パソコンのポートとルーターのポートを開いた状態にして、そのポートから侵入して人のパソコンを自由に操作するのでしょうか？

だとすると、ルーターのポートが開いているかどうかをポートスキャンにかけ、開いているポートがなければ、リモートアドミンツールで操作できる状態ではない(ウイルスには感染していない)と考えてよいですか？

No.19 回答者： noname#154195 回答日時： 2012/05/17 00:16

参考URLのみ

◆リモートアドミンツールについて教えてください！ - Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question …

◆痴餌袋に棲む能無し：darkhakaibutai - nekotan_ok
http://www23.atwiki.jp/mildrath/pages/38.html

No.18 回答者： rebind 回答日時： 2012/02/03 01:31

ルートキットスキャン例見せてあげます。

No.17 回答者： rebind 回答日時： 2012/02/03 01:07

パケットキャプチャーソフトはたくさんありますよ。

代表的なの下の動画で示したじゃないですか。

ステルス状態の通信を見抜くのは一般人だと無理ですね。

この回答へのお礼

>代表的なの下の動画で示したじゃないですか。

そうですね、気づきました(汗)

ステルス通信でもカスペルスキーならダイアログを表示するということなので
ウイルス感染状態のパソコンでも探知できる別なソフトがあるんじゃないかと思いました。
(探知についてダイアログが表示されるなら素人でも判断できる)

ルートキット発見ツールについてのrebindさんの言及がないので、性能には差がないものと考えて片っ端から試してみることにします！

お礼日時：2012/02/03 01:22

No.16 回答者： rebind 回答日時： 2012/02/03 00:36

すいません、あとこちら

Anti-rootkitスキャナー

http://www.antirootkit.com/software/index.htm

この回答へのお礼

ルートキット発見ツールをまとめて紹介してくださりありがとうございます。

数が多いのですが、どれがオススメでしょうか？

ルートキットツールではなく、ウイルスに感染したパソコンの起動時から(スタートアップエントリに登録されているソフトを含む)パケットログを適切に取得できるソフトはないのでしょうか？
パソコンの起動時から(スタートアップエントリに登録されているソフトを含む)ステルス通信を発見するソフトも。

お礼日時：2012/02/03 00:54

No.15 回答者： rebind 回答日時： 2012/02/03 00:25

これ、あるキーロガーの動作チェック

No.14 回答者： rebind 回答日時： 2012/02/02 22:55

まず、1は違います。

デフォブラウザが使われることが圧倒的に多いですけど、100%デフォブラウザに限るというわけではないです。

ActiveXスタートアップは一般的にあまり知られていないエントリでかつシステムスタートアップ時に必ず読み込まれるエントリだから利用されるわけです。これに関しては画像でお見せします。

>ウイルスに感染しているパソコンにカスペを導入してもカスペはどの程度きちんと機能するように設計されているかが今度は問題になりますが、そこのところはどうなのでしょう？

これに関してはわかりません。僕もやったことないし。カスペルスキーに聞いて下さい。ただ、一般的にいって効果は期待できないと考えるのが普通でしょう。

この回答へのお礼

(スタートアップにactiveXなど悪意のあるエントリがある場合など)すでにウイルスに感染していても、パソコン起動時から(スタートアップエントリに登録されているソフトを含む)のパケットログを取得できるソフトと、パソコン起動時から(スタートアップエントリに登録されているソフトを含む)ステルス通信をなんらかの形で探知するソフトがあればよいのですが、そのようなソフトはないでしょうか？

それぞれは別のソフトでも構いません。
(カスペルスキーにはこだわっておりません。)


またここ数年のマルウェアはほとんど外部通信機能をもっているという理解で良いでしょうか？

お礼日時：2012/02/03 00:12

No.13 回答者： rebind 回答日時： 2012/02/02 01:32

>カスペではステルスをブロックするということは、そのブロックしたログはレポートに残らないでしょうか？

これに関してはダイアログを表示するところまでは確認していますが、ログ保存をしていませんでしたので今度新たにテストします。

ちなみに、リモートアドミン系マルではActiveXスタートアップというエントリを使うことがよくあります。

この回答へのお礼

リモートアドミン系マルウェアが外部と通信しているかを見抜くには、rebindさんの教えを受けて

1
ステルス通信をしているのはデフォルトブラウザだけで、そのデフォルトブラウザのステルス通信を見抜ける方法があればよい(カスペがブロックをログとして残してくれれば分かる)

2
ステルス以外の外部との通信は、パケットログを見れば分かる

3
リモートアドミン系マルウェアが外部と通信する場合は、パソコン起動後 数時間で判断できる


というふうに理解しました。


私はマルウェアのほとんどが外部と通信する機能をもっており、この1と2と3を実行すれば、リモートアドミン系マルにかぎらず、マルウェア全般に感染していないことが判明すると勝手に思いこんでいましたが、1と2と3によって外部通信が確認できなければリモートアドミン系マルに限らず、マルウェアというのもには基本的には感染していないと思って良いでしょうか？


マルウェアがビジネスになっていれば、外部通信機能は必須だと思うので
http://www.mcafee.com/japan/security/mcafee_labs …


ActiveXスタートアップエントリというのは、上での1または2での判別をブロックする(1ではカスペのステルス通信ブロック機能を無効する。2では外部との通信をパケットログに残されないようにする)働きをするのでしょうか？


rebindさんの指摘を受けて思ったのですが、カスペを導入する前にすでにウイルスに感染し、カスペがうまく機能しないようになっていれば、この1と2と3を実行してもマルウェアに感染しているかは判断できないということになりますよね。　

ウイルスに感染しているパソコンにカスペを導入してもカスペはどの程度きちんと機能するように設計されているかが今度は問題になりますが、そこのところはどうなのでしょう？

感染パソコンにカスペをインストールしたら時間をおかず、すぐに1と2と3を実行すればよいのでしょうか？

お礼日時：2012/02/02 03:22

No.12 回答者： rebind 回答日時： 2012/02/02 00:15

>リバースエンジニアリングでの接続は

違いますｗ。リバース接続。リバースエンジニアリングはまた別。

>Generic Host process for Win 32services(svchost.exe)が使われることはないでしょうか？

はい、あります。普通のユーザーですと何も思わないでしょうね。知らないから。

>199.93.49.254

ご自分で調べて下さい。

http://www.cybersyndrome.net/whois.html

>セキュリティ効果の高いカスペルスキーならステルスでもパケットログがきちんと表示される(取得できる)ということはないでしょうか？

カスペではステルスのプロセスや通信を許しません。

>ステルス通信のパケットをとらえることが出来れば問題解決で安心できるのですが。。

これは無理。掻い摘んだ知識ではどうにもならないです。

この回答へのお礼

セキュリティに詳しいrebindさんのアドバイスのおかげで解決に近づいている気がします。

カスペではステルスをブロックするということは、そのブロックしたログはレポートに残らないでしょうか？

残るとすれば、デフォルトブラウザがステルス通信をしているかどうかは、カスペのレポートから判断できて
ステルス以外の通信はパケットログから判断できる。

これによって、パソコン起動後 数時間放置しておけば、リモートアドミンツールやマルウェアに感染しているかは判断できる気がします。

お礼日時：2012/02/02 01:07

No.11 回答者： rebind 回答日時： 2012/02/01 23:34

実例紹介してあげます。

これらはあくまでテストとしてローカル環境でやっています。



http://www.youtube.com/watch?v=k255iTnUsbE

この回答へのお礼

勉強になります！

ところでリバースエンジニアリングでの接続は、通常デフォルトのブラウザが使われるということですが、Generic Host process for Win 32services(svchost.exe)が使われることはないでしょうか？

最近起動時のパケットログを見ているのですが、今日はGeneric Host process for Win 32services(svchost.exe)がTCP送信パケットで199.93.49.254というipアドレスに接続していました。


また、モニタリングツール上で表示されず、パケットモニタリングツールで表示されない場合でも、セキュリティ効果の高いカスペルスキーならステルスでもパケットログがきちんと表示される(取得できる)ということはないでしょうか？

ステルス通信のパケットをとらえることが出来れば問題解決で安心できるのですが。。

お礼日時：2012/02/02 00:01

No.10 回答者： rebind 回答日時： 2012/01/31 23:32

>ステルス状態でコネクションを確立するケースでもパケットログを取得できるソフトはないでしょうか？

実はProcess Expolorerなどのモニタリングツール上で表示されていなくても、パケットモニタリングでは表示されてしまう場合と、パケットモニタリングツール上でも表示されない場合があり、後者では高度な知識を持った人じゃないと無理です。

>そのアプリに関してファイウォールの設定を外部通信許可にして、且つそのアプリを事前に起動させておいて放置状態にしておかなければならないのでしょうか？

許可設定にしてある必要がありますが、事前に該当プログラムが起動していなくてもかまいません。
ただし、前者の許可設定ですが、ボクがテストしたところでは許可設定を与えられていなくても通ってしまうソフトもありました。成りすまし通信の場合ですけど。

この回答へのお礼

モニタリングツールでずっと見ておくのはしんどいので、パケットモニタリングで調べたいと考えています。

成りすまし通信というのは、たとえばinternet explorer になり済まして通信する場合はinternet explorerのパケットログとして記録に残るということですよね。

成りすまし通信による突破に関係なく、とりあえずリモートアドミンツールかマルウェアが入っているかどうかを確認出来たらそれでOKなので、パケットログが取得出来たら大満足です。
(それでパソコンがウイルスに感染しているか判断できるので)

モニタリングツール上で表示されず、パケットモニタリングツールで表示されない場合でも、セキュリティ効果の高いカスペルスキーならステルスでもパケットログがきちんと表示される(取得できる)ということはないでしょうか？

あともう少しで解決というところまで来ているのに、[高度な知識を持った人じゃないと無理]というのはつらいです。

お礼日時：2012/02/01 00:25