A 回答 (19件中1~10件)
- 最新から表示
- 回答順に表示
No.19
- 回答日時:
参考URLのみ
◆リモートアドミンツールについて教えてください! - Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question …
◆痴餌袋に棲む能無し:darkhakaibutai - nekotan_ok
http://www23.atwiki.jp/mildrath/pages/38.html
No.17
- 回答日時:
パケットキャプチャーソフトはたくさんありますよ。
代表的なの下の動画で示したじゃないですか。
ステルス状態の通信を見抜くのは一般人だと無理ですね。
>代表的なの下の動画で示したじゃないですか。
そうですね、気づきました(汗)
ステルス通信でもカスペルスキーならダイアログを表示するということなので
ウイルス感染状態のパソコンでも探知できる別なソフトがあるんじゃないかと思いました。
(探知についてダイアログが表示されるなら素人でも判断できる)
ルートキット発見ツールについてのrebindさんの言及がないので、性能には差がないものと考えて片っ端から試してみることにします!
No.16
- 回答日時:
ルートキット発見ツールをまとめて紹介してくださりありがとうございます。
数が多いのですが、どれがオススメでしょうか?
ルートキットツールではなく、ウイルスに感染したパソコンの起動時から(スタートアップエントリに登録されているソフトを含む)パケットログを適切に取得できるソフトはないのでしょうか?
パソコンの起動時から(スタートアップエントリに登録されているソフトを含む)ステルス通信を発見するソフトも。
No.14
- 回答日時:
まず、1は違います。
デフォブラウザが使われることが圧倒的に多いですけど、100%デフォブラウザに限るというわけではないです。
ActiveXスタートアップは一般的にあまり知られていないエントリでかつシステムスタートアップ時に必ず読み込まれるエントリだから利用されるわけです。これに関しては画像でお見せします。
>ウイルスに感染しているパソコンにカスペを導入してもカスペはどの程度きちんと機能するように設計されているかが今度は問題になりますが、そこのところはどうなのでしょう?
これに関してはわかりません。僕もやったことないし。カスペルスキーに聞いて下さい。ただ、一般的にいって効果は期待できないと考えるのが普通でしょう。
(スタートアップにactiveXなど悪意のあるエントリがある場合など)すでにウイルスに感染していても、パソコン起動時から(スタートアップエントリに登録されているソフトを含む)のパケットログを取得できるソフトと、パソコン起動時から(スタートアップエントリに登録されているソフトを含む)ステルス通信をなんらかの形で探知するソフトがあればよいのですが、そのようなソフトはないでしょうか?
それぞれは別のソフトでも構いません。
(カスペルスキーにはこだわっておりません。)
またここ数年のマルウェアはほとんど外部通信機能をもっているという理解で良いでしょうか?
No.13
- 回答日時:
>カスペではステルスをブロックするということは、そのブロックしたログはレポートに残らないでしょうか?
これに関してはダイアログを表示するところまでは確認していますが、ログ保存をしていませんでしたので今度新たにテストします。
ちなみに、リモートアドミン系マルではActiveXスタートアップというエントリを使うことがよくあります。
リモートアドミン系マルウェアが外部と通信しているかを見抜くには、rebindさんの教えを受けて
1
ステルス通信をしているのはデフォルトブラウザだけで、そのデフォルトブラウザのステルス通信を見抜ける方法があればよい(カスペがブロックをログとして残してくれれば分かる)
2
ステルス以外の外部との通信は、パケットログを見れば分かる
3
リモートアドミン系マルウェアが外部と通信する場合は、パソコン起動後 数時間で判断できる
というふうに理解しました。
私はマルウェアのほとんどが外部と通信する機能をもっており、この1と2と3を実行すれば、リモートアドミン系マルにかぎらず、マルウェア全般に感染していないことが判明すると勝手に思いこんでいましたが、1と2と3によって外部通信が確認できなければリモートアドミン系マルに限らず、マルウェアというのもには基本的には感染していないと思って良いでしょうか?
マルウェアがビジネスになっていれば、外部通信機能は必須だと思うので
http://www.mcafee.com/japan/security/mcafee_labs …
ActiveXスタートアップエントリというのは、上での1または2での判別をブロックする(1ではカスペのステルス通信ブロック機能を無効する。2では外部との通信をパケットログに残されないようにする)働きをするのでしょうか?
rebindさんの指摘を受けて思ったのですが、カスペを導入する前にすでにウイルスに感染し、カスペがうまく機能しないようになっていれば、この1と2と3を実行してもマルウェアに感染しているかは判断できないということになりますよね。
ウイルスに感染しているパソコンにカスペを導入してもカスペはどの程度きちんと機能するように設計されているかが今度は問題になりますが、そこのところはどうなのでしょう?
感染パソコンにカスペをインストールしたら時間をおかず、すぐに1と2と3を実行すればよいのでしょうか?
No.12
- 回答日時:
>リバースエンジニアリングでの接続は
違いますw。リバース接続。リバースエンジニアリングはまた別。
>Generic Host process for Win 32services(svchost.exe)が使われることはないでしょうか?
はい、あります。普通のユーザーですと何も思わないでしょうね。知らないから。
>199.93.49.254
ご自分で調べて下さい。
http://www.cybersyndrome.net/whois.html
>セキュリティ効果の高いカスペルスキーならステルスでもパケットログがきちんと表示される(取得できる)ということはないでしょうか?
カスペではステルスのプロセスや通信を許しません。
>ステルス通信のパケットをとらえることが出来れば問題解決で安心できるのですが。。
これは無理。掻い摘んだ知識ではどうにもならないです。
セキュリティに詳しいrebindさんのアドバイスのおかげで解決に近づいている気がします。
カスペではステルスをブロックするということは、そのブロックしたログはレポートに残らないでしょうか?
残るとすれば、デフォルトブラウザがステルス通信をしているかどうかは、カスペのレポートから判断できて
ステルス以外の通信はパケットログから判断できる。
これによって、パソコン起動後 数時間放置しておけば、リモートアドミンツールやマルウェアに感染しているかは判断できる気がします。
No.11
- 回答日時:
勉強になります!
ところでリバースエンジニアリングでの接続は、通常デフォルトのブラウザが使われるということですが、Generic Host process for Win 32services(svchost.exe)が使われることはないでしょうか?
最近起動時のパケットログを見ているのですが、今日はGeneric Host process for Win 32services(svchost.exe)がTCP送信パケットで199.93.49.254というipアドレスに接続していました。
また、モニタリングツール上で表示されず、パケットモニタリングツールで表示されない場合でも、セキュリティ効果の高いカスペルスキーならステルスでもパケットログがきちんと表示される(取得できる)ということはないでしょうか?
ステルス通信のパケットをとらえることが出来れば問題解決で安心できるのですが。。
No.10
- 回答日時:
>ステルス状態でコネクションを確立するケースでもパケットログを取得できるソフトはないでしょうか?
実はProcess Expolorerなどのモニタリングツール上で表示されていなくても、パケットモニタリングでは表示されてしまう場合と、パケットモニタリングツール上でも表示されない場合があり、後者では高度な知識を持った人じゃないと無理です。
>そのアプリに関してファイウォールの設定を外部通信許可にして、且つそのアプリを事前に起動させておいて放置状態にしておかなければならないのでしょうか?
許可設定にしてある必要がありますが、事前に該当プログラムが起動していなくてもかまいません。
ただし、前者の許可設定ですが、ボクがテストしたところでは許可設定を与えられていなくても通ってしまうソフトもありました。成りすまし通信の場合ですけど。
モニタリングツールでずっと見ておくのはしんどいので、パケットモニタリングで調べたいと考えています。
成りすまし通信というのは、たとえばinternet explorer になり済まして通信する場合はinternet explorerのパケットログとして記録に残るということですよね。
成りすまし通信による突破に関係なく、とりあえずリモートアドミンツールかマルウェアが入っているかどうかを確認出来たらそれでOKなので、パケットログが取得出来たら大満足です。
(それでパソコンがウイルスに感染しているか判断できるので)
モニタリングツール上で表示されず、パケットモニタリングツールで表示されない場合でも、セキュリティ効果の高いカスペルスキーならステルスでもパケットログがきちんと表示される(取得できる)ということはないでしょうか?
あともう少しで解決というところまで来ているのに、[高度な知識を持った人じゃないと無理]というのはつらいです。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ネットワーク 【VLANとセキュリティについて】 ポート10(LAN2) にNAS ポート20(LAN3) にPC 6 2022/11/30 07:47
- ルーター・ネットワーク機器 家庭内LAN 4 2023/06/29 12:13
- ルーター・ネットワーク機器 ひとつのスイッチでルーターの冗長化を複数させたい 1 2023/04/12 22:46
- LANケーブル・USBケーブル ポート開放ができるWi-Fiルーターを紹介して下さい。 昨日、ソフトバンクエアーを契約しました。 マ 2 2022/09/11 11:19
- シティサイクル・電動アシスト自転車 こんな自転車用ヘッドライトないですか? 1 2022/10/13 23:15
- ルーター・ネットワーク機器 10Gbpsの恩恵 5 2022/11/16 15:48
- FTTH・光回線 【自宅で64台のパソコンを外部接続インターネット環境に接続しようと思ったら、プロバイダ 5 2023/06/04 14:13
- ルーター・ネットワーク機器 HWS33MWAポート開放方法 2 2023/08/10 16:13
- LANケーブル・USBケーブル ポート開放ができる工事不要のWi-Fiルーターがあれば、紹介して下さい。 8 2022/09/11 16:37
- ルーター・ネットワーク機器 一軒家の自宅を購入し、1階にリビングにOUNを設置しました。私は2階の部屋で有線LAN接続してパソコ 5 2023/06/09 23:08
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ポート135の閉じ方
-
MSN関連のページに行くと、フリ...
-
パソコンを無断で使われている...
-
Widgets.exeがオーバーランしま...
-
DELLのパソコンの電源を入...
-
「遮断」の反対語は何ですか?
-
ギガバイト社のM/B、起動時の警...
-
Macbook proで「書類“〇〇〇”を...
-
パソコン(MacBookAir) のパソコ...
-
HDDの不良ブロックの解消方法を...
-
ソニー社製 giga poket
-
パソコンの時刻が勝手に変更さ...
-
HDDの故障の前兆?
-
自分の画面が他人にみられてい...
-
servletでポート番号を出さない...
-
bash環境でのエラー対応をお願...
-
ネットサーフィンをしていると...
-
同じNW上で同じユーザー名のコ...
-
パソコンから”ピー”という機械...
-
NECパソコンTVソフトのスマート...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
通信数が異常なんですが…
-
ポート135の閉じ方
-
同一IPからポート・スキャン...
-
パーソナルファイアーウォール...
-
カスペルスキーのステルスモー...
-
ルーターとファイアーウォール...
-
誰かがP2Pを使っています
-
外部からの侵入を防ぐ方法
-
ブリッジ接続とファイヤーウォール
-
マカフィのパーソナルファイア...
-
不正進入について
-
ファイアウォールを1時的に手...
-
Win SP2 ファイヤーウォールと...
-
Portscanを受けました。
-
リモートアドミンツールについ...
-
ネットを通じてファイルが盗み...
-
ノートンアンチウイルス200...
-
ファイアーウオールソフトって...
-
WinnyやShare等のP2Pソフトを使...
-
IPアドレスを変えても・・・?
おすすめ情報