NISを使用しています。
質問ですが、不正接続がないか確認するために、時々、通信ログをチェックしています。特段、不審な点はないのですが、不安に思うことがあり質問させていただきます(NIS以外にも当てはまると思います)。
1 ログの記載内容はどの程度信用できるのでしょうか?
例えば、ログを書き換える(通信先を書き換えるとか、プロセスを書き換える)ようなトロイやスパイウェア等はあるのでしょうか?(アウトバンド、インバウンドを含む)。
もし、あるとしたら、それは、そのソフト特有なのか、ログ内にある記録をコピペするようなものなのでしょうか?
2 ログに痕跡を残さないで、通信するようなトロイやスパイウェア等はあるのでしょうか?
3 もし、そのような事例があるとしたら、見破る方法はありますか?
4 ログ解析の際、気を付ける点はありますか?
A 回答 (4件)
- 最新から表示
- 回答順に表示
No.4
- 回答日時:
>>アウトバウンドも記録されていますが
こちらの記憶違いのようですね。
今ノートンを使っていないので。
アウトバウンドのパケットが問題なければ良いだけですね。接続ログに記録されていることだと思いますが。
ログの信用性ですが、接続ログが記録されているはずなのに記録されていない、という現象がなければ大丈夫だと思います。通信ログの改ざんなどの目的は主に侵入時の痕跡を残さないため、というのが一般的のようですよ。
No.3
- 回答日時:
こんにちは。
ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。
A1:
まあ、確かにログの信用性ということはありますよね。実際、AVのスキャンの方で、Malwareによってはパターンファイル中の当該シグネチャを改ざんしてすり抜けを図るものもあるようです。PFWのログの方でもあってもおかしくはないですね。ただ、ボク自身はそのようなMalwareは知らないです。やるとしても、たとえばNISならNISでNISのログ形式を事前にわかってないと駄目ですし。
まあ、どっちかというとRootKitでしょうね。APIのフック(ユーザーモードとカーネルモードがある)ならデータ形式を気にしないでいいですし。
A2:
さっき言ったようにどっちかというとRootKit利用ですね。もしくは、リバース+FWB(Firewall Bypass)ですかね。というのは、普通のユーザーはログチェックなんてほとんどしてないと思いますので。
A3:
RootKitなんかだと、起動中のシステム上からチェックするのは確実性に欠けるということは当然言えると思います。かと言って、RootKit Detection Toolがまったく役に立たないというわけでもないです。まあ、ボクでしたらフォレンジックにも使えるLiveCDのHelixも使うと思います。
A4:
まあ、もしあなたがログの信用性は疑問ということでしたら、一般人だとLiveCDぐらいですかね。
※参考
http://www.antirootkit.com/software/index.htm
ボクはこの中のSystem Virginity Verifierというのを使ってます。RootKitのエキスパートと言っても過言ではないJoanna Rutkowskaさんが開発したツールです。CUIです。
http://www.invisiblethings.org/tools.html
No.2
- 回答日時:
間接的なことですが、
http://www.wireshark.org/
それで通信を観察できます。
ノートンの接続ログのことだと思いますが、自分のパソコンから他のコンピューターに接続要求を出している場合、それが不正アクセスだろうと記録しません。ただ、ノートンの設定で記録するようにできますが。
サーバーではないと思いますが、クライアントパソコンは接続要求を出してサイトなどに接続します。その確立した接続をノートンが記録します。すべてのパケットを記録しません。標準で。
この回答への補足
NISのログ画面を見ると、「通信」項目があり、
アウトバウンドも記録されていますが、
自分のPCからの接続要求は記録されていない、ということなのでしょうか?
もし、そうだとすると、FWのログとしては大分お粗末に思えるのですが。
No.1
- 回答日時:
IEやWindowsSystem関連の通信を装うのは実際行われてます。
また、ファイアーウォールをすりけることも可能です。
実際問題として、ひとつのセキュリティソフトに頼るのは危険で、複数の常駐しないタイプ(オンラインスキャンも含む)でチェックすること、レジストリやHOSTSファイルに改変がないかチェックすることを行う必要があります。
また、Rootkitが仕掛けられた場合、OSが起動してる状態ではそのRootkitを発見するのは難しく、LiveCDなどで調べるかするしかありません。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ネットワーク Macでインターネットの通信速度を連続的に記録するツール 1 2023/03/18 11:19
- 株式市場・株価 名義書換しない株式 1 2022/07/14 22:07
- Windows 10 Windows10でUSB機器が接続/抜去した際のログ確認について イベントビューアの「Driver 1 2022/07/12 16:28
- その他(プログラミング・Web制作) Windowsのマクロプログラムで、こんなことできますか? 3 2022/06/28 14:30
- その他(インターネット接続・インフラ) インターネットが何かしら通信をしています。 身に覚えのある機器が通信をしているとは思えません。今イン 7 2023/08/06 17:26
- その他(恋愛相談) 質問があります。 いいですね、温泉。。 私は最近は入浴剤にハマっていますと 返信がきました。 有給で 3 2023/03/01 12:31
- FTTH・光回線 AU光回線の速度が出ません 2 2022/07/30 16:05
- 運輸業・郵便業 請求書の郵送方法について教えてください 5 2023/03/27 10:43
- 訴訟・裁判 管理会社の光ファイバー対応の虚偽記載。損害賠償金額の目安は? 4 2022/05/29 13:24
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
IISのログに出力される「GET」...
-
フォルダを移動した犯人は誰?
-
Webで重い処理をするとリクエス...
-
フォルダを作成した人 or IP...
-
TeraTermのログが正しく取得出...
-
外付けHDDへのアクセスログを取...
-
Windowsのシステムログをsyslog...
-
DISMのログを見る方法を教えて...
-
社内ネットワークのアクセスログ
-
マカフィーセキュリティ
-
ドメイン環境でのサーバとクラ...
-
XPパソコンで再起動時に時計を...
-
アドレスの前にwwwの他にw...
-
FFFTPでファイルがアップロード...
-
ゲートウェイサーバについて
-
日付と時刻を勝手に戻らせない...
-
別のコンピュータ名でPINGを打...
-
curl実行結果が404で戻ってきて...
-
switchで、Wi-Fiはいいのにラグ...
-
異なるセグメントのドメインコ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
フォルダを移動した犯人は誰?
-
TeraTermのログが正しく取得出...
-
IISのログに出力される「GET」...
-
ログとダンプの違いって・・・
-
外付けHDDへのアクセスログを取...
-
Webで重い処理をするとリクエス...
-
Cosminexusのログエージェント...
-
フォルダを作成した人 or IP...
-
DISMのログを見る方法を教えて...
-
Windowsのシステムログをsyslog...
-
sendmailで遅延が発生したとき...
-
固定ではないはずなのにIPアド...
-
ユーザアカウント等の管理にお...
-
Apacheのログの見かた!
-
Winでいうイベントビューアって...
-
パソコンのログを見たら、いつ...
-
NW機器のログ監視
-
USBを刺した記録を消す方法
-
ルーターのアクセス制限ログに...
-
サーバへのアクセスログ
おすすめ情報