代替データストリームのあるフォルダ・ファイルの検出

NTFSファイルシステムであれば、フォルダやあらゆる拡張子のファイルに代替データストリームを使用することが出来ますが、
代替データストリームにマルウェアが含まれている場合、そのフォルダまたはファイルをダブルクリックで実行すると、それと同時に代替データストリーム内のマルウェアを実行させるのは容易なのでしょうか？

またマルウェア対策として、パソコン内にあるフォルダ・ファイルで代替データストリームのあるものを片っ端から検出したいと考えています。

検索すると AlternateStreamView 1.30
http://blog.layer8.sh/ja/2011/04/16/%E9%80%9A%E5 …

という検出ソフトが見つかりました。


このソフトで代替データストリームがマルウェアの場合であっても普通に検出できるのでしょうか？
(マルウェアによって代替データストリーム部分が隠されない)

代替データストリームがマルウェアであっても適切に検出できるより良いソフトがあれば教えてください。
ファイルだけではなく、フォルダの代替データストリームも検出できるソフトです。

No.6 回答者： rebind 回答日時： 2012/06/09 00:11

現在、McAfee Rootkit Detectiveはダウンロードできないようです。

失礼しました。

この回答への補足

ウイルス・ルートキットに感染していないパソコンでフォルダーとファイルを調べるので
ルートキットによるファイルやADSの隠蔽は不可能だと考えています。

ファイルはテキストファイルだけなのでバイナリエディタソフトで解決できるとして
残るはファイルとフォルダーのADSの存在だけを調べることができれば良いと思うのですが

http://www.forensicfocus.com/dissecting-ntfs-hid …

こちらにADS検出ツールがまとめて紹介されています。

ただ、果たしてこれらのツールはファイルだけではなく、フォルダのADSも検出できるのかが私にはわかりません。

rebind様、フォルダのADSを検出できるツールは上記サイトにありますでしょうか？

補足日時：2012/06/10 11:32

この回答へのお礼

rebind様、何度も教えてくださり重ね重ねありがとうございます。

全くウイルス・ルートキットに感染していないxpパソコンに
フォルダとファイルを移動させて、ウイルスチェックをしようと考えています。

この場合、フォルダがフォルダでない偽装ファイルの場合はバイナリエディタソフトで開くことが出来るので見抜ける。
偽装ファイルでないことが判明したフォルダのhidden objectとして考えられるのはADSのみ。そしてフォルダのADS部分は全くウイルス・ルートキットに感染していないパソコンでは隠蔽できずにADS検出ツールで検知できるように思われますが間違っていますでしょうか？


またファイルに関しては、調べたいファイルは拡張子がtxtやhtmlなどのテキストファイルだけなので、これはバイナリエディタソフトで開いて文字化けのような不自然なところがなければメインストリーム部分に関しては問題なしと判断しています。
テキストファイルのhidden objectで残っているのはADS部分だけだと思うので、こちらは全くウイルス・ルートキットに感染していないパソコンでは隠蔽できず、ADS検出ツールでADS部分が検出されたテキストファイルはすべて削除しようと考えています。

お礼日時：2012/06/09 00:38

No.5 回答者： rebind 回答日時： 2012/06/08 23:42

あの、あなたの言われることわかりますけど、そもそもhidden objectはADSを悪用したものだけではありません。

いわゆるrootkitと言われるものもあるわけで。

で、ファイル、フォルダのADSを一つ一つ調べるなんてとてもやってられないです。で、調べるにはどうしたってスキャナー系ツールに頼らざるをえないです。

当方がこれまで試して見た中では

GMER
McAFee Rootkit Detective
Rootkit Revealer
IceSword
SysProt

あと、CUIのツールでSystem Virginity Verifier

この辺がまずます有用かなと思いました。

で、いっそのことという表現が妥当かどうかは別にして、フォレンジック用のLive DVDなどがあります。これらを利用する手もあります。当然レベルの高い領域になります。

それと、ADSのデータ削除ですが、ZoneIDもこのADSを使ってるのでその辺考えないといけません。当方では確認してませんが、削除した場合は該当ファイルの実行をするかどうかのダイアログが表示されなくなることが考えられます。

なお、セーフデスクトップが使えなくても個別アプリの仮想実行は出来るはずです。

No.4 回答者： rebind 回答日時： 2012/06/08 01:02

>マルウェアが難読化されていても、カスペルスキーで対応できますでしょうか？

はい、ぜんぜん大丈夫です。

そもそもセーフデスクトップで作業してれば感染しませんから。

この回答への補足

セーフデスクトップにするとパソコンの挙動が少しおかしくなるので、
セーフデスクトップはオフの環境でパソコンを使用したいと思っております。


その場合、ウイルス感染したフォルダを見付ける方法は↓で良いでしょうか？

===============================================

フォルダにはADS以外の箇所にバイナリコードを埋め込むことはできない。

フォルダをバイナリエディタソフトで開くことが出来た場合は、それはフォルダではなく何らかの拡張子のファイル。
開くことが出来なかった場合は、通常のフォルダ。

そして開くことが出来なかったとして、残る懸念はフォルダのADS部分のマルウェアですが、これは難読化されていてもカスペルスキーがある程度検出する。

ただ、検出できない場合もあるので、ADSを含むフォルダを検出できるツールを使い、ADSがあると認識されたすべてのフォルダのADS部分を削除する

===========================================

補足日時：2012/06/08 08:33

No.3 回答者： rebind 回答日時： 2012/06/07 14:10

>カスペルスキーでは

こういった重要情報は最初に書いて下さい。

カスペであればADS内のマルウェアでも検出するので問題ありません。

この回答へのお礼

マルウェアが難読化されていても、カスペルスキーで対応できますでしょうか？

===============================================

フォルダにはADS以外の箇所にバイナリコードを埋め込むことはできない。

フォルダをバイナリエディタソフトで開くことが出来た場合は、それはフォルダではなく何らかの拡張子のファイル。
開くことが出来なかった場合は、通常のフォルダ。

そして開くことが出来なかったとして、残る懸念はフォルダのADS部分のマルウェアですが、これは難読化されていてもカスペルスキーが検出する。

===========================================

このやり方でフォルダがウイルス感染しているか調べようと思っています。
rebind様、この対応で良いでしょうか？

お礼日時：2012/06/07 15:15

No.2 回答者： rebind 回答日時： 2012/06/06 22:59

そんなに気になるならHIPSを利用する手もありますよ。

この回答へのお礼

windows explorerをカスペルスキーでは制限のゆるい[許可グループ]に入れているので
HIPSはうまく機能しないかもしれない、と感じています。

フォルダがウイルス感染していないかについて、
[バイナリエディタソフトで開けなくて、さらにADSがなければ安全]という判断では
やはり不十分ですか？

お礼日時：2012/06/06 23:30

No.1 回答者： rebind 回答日時： 2012/06/06 22:18

あの、ぶっちゃけて話すと、そんなに神経質になる必要ないです。

というのは、ADSをマルウェアが悪用することがあるというのはかなり前から知られていることだからです。最近の対策ソフトではADSもスキャンするようになってます。

参考までにスキャナーの例を下の画像で紹介します。

この回答への補足

GMERはADSのあるすべてのファイルとフォルダを抽出するのでしょうか？

補足日時：2012/06/06 22:55

この回答へのお礼

rebind様、教えてくださりありがとうございます。

フォルダがウイルス感染していないか調べる方法として、
フォルダをバイナリエディタソフトで開けなければ、そのフォルダはバイナリコードが付加されていない＝ウイルス感染していないと判断していたのですが、

見た目も通常動作も「フォルダ」なのに、他のファイルも含むものを作成することは、
ファイルシステムがNTFSの場合は可能であると知って

調べている内に、ADSの存在に行き着きました。

フォルダがウイルス感染していないか調べる方法は、バイナリエディタソフトで開けなくて、さらにADSがなければ安全と考えてよいでしょうか？

お礼日時：2012/06/06 22:45