- 締切済み
代替データストリームのあるフォルダ・ファイルの検出
NTFSファイルシステムであれば、フォルダやあらゆる拡張子のファイルに代替データストリームを使用することが出来ますが、 代替データストリームにマルウェアが含まれている場合、そのフォルダまたはファイルをダブルクリックで実行すると、それと同時に代替データストリーム内のマルウェアを実行させるのは容易なのでしょうか? またマルウェア対策として、パソコン内にあるフォルダ・ファイルで代替データストリームのあるものを片っ端から検出したいと考えています。 検索すると AlternateStreamView 1.30 http://blog.layer8.sh/ja/2011/04/16/%E9%80%9A%E5 … という検出ソフトが見つかりました。 このソフトで代替データストリームがマルウェアの場合であっても普通に検出できるのでしょうか? (マルウェアによって代替データストリーム部分が隠されない) 代替データストリームがマルウェアであっても適切に検出できるより良いソフトがあれば教えてください。 ファイルだけではなく、フォルダの代替データストリームも検出できるソフトです。
- dsadi
- お礼率38% (5/13)
- ウィルス・マルウェア
- 回答数6
- ありがとう数4
- みんなの回答 (6)
- 専門家の回答
みんなの回答
- rebind
- ベストアンサー率30% (136/444)
現在、McAfee Rootkit Detectiveはダウンロードできないようです。 失礼しました。
- rebind
- ベストアンサー率30% (136/444)
あの、あなたの言われることわかりますけど、そもそもhidden objectはADSを悪用したものだけではありません。いわゆるrootkitと言われるものもあるわけで。 で、ファイル、フォルダのADSを一つ一つ調べるなんてとてもやってられないです。で、調べるにはどうしたってスキャナー系ツールに頼らざるをえないです。 当方がこれまで試して見た中では GMER McAFee Rootkit Detective Rootkit Revealer IceSword SysProt あと、CUIのツールでSystem Virginity Verifier この辺がまずます有用かなと思いました。 で、いっそのことという表現が妥当かどうかは別にして、フォレンジック用のLive DVDなどがあります。これらを利用する手もあります。当然レベルの高い領域になります。 それと、ADSのデータ削除ですが、ZoneIDもこのADSを使ってるのでその辺考えないといけません。当方では確認してませんが、削除した場合は該当ファイルの実行をするかどうかのダイアログが表示されなくなることが考えられます。 なお、セーフデスクトップが使えなくても個別アプリの仮想実行は出来るはずです。
- rebind
- ベストアンサー率30% (136/444)
>マルウェアが難読化されていても、カスペルスキーで対応できますでしょうか? はい、ぜんぜん大丈夫です。 そもそもセーフデスクトップで作業してれば感染しませんから。
補足
セーフデスクトップにするとパソコンの挙動が少しおかしくなるので、 セーフデスクトップはオフの環境でパソコンを使用したいと思っております。 その場合、ウイルス感染したフォルダを見付ける方法は↓で良いでしょうか? =============================================== フォルダにはADS以外の箇所にバイナリコードを埋め込むことはできない。 フォルダをバイナリエディタソフトで開くことが出来た場合は、それはフォルダではなく何らかの拡張子のファイル。 開くことが出来なかった場合は、通常のフォルダ。 そして開くことが出来なかったとして、残る懸念はフォルダのADS部分のマルウェアですが、これは難読化されていてもカスペルスキーがある程度検出する。 ただ、検出できない場合もあるので、ADSを含むフォルダを検出できるツールを使い、ADSがあると認識されたすべてのフォルダのADS部分を削除する ===========================================
- rebind
- ベストアンサー率30% (136/444)
>カスペルスキーでは こういった重要情報は最初に書いて下さい。 カスペであればADS内のマルウェアでも検出するので問題ありません。
お礼
マルウェアが難読化されていても、カスペルスキーで対応できますでしょうか? =============================================== フォルダにはADS以外の箇所にバイナリコードを埋め込むことはできない。 フォルダをバイナリエディタソフトで開くことが出来た場合は、それはフォルダではなく何らかの拡張子のファイル。 開くことが出来なかった場合は、通常のフォルダ。 そして開くことが出来なかったとして、残る懸念はフォルダのADS部分のマルウェアですが、これは難読化されていてもカスペルスキーが検出する。 =========================================== このやり方でフォルダがウイルス感染しているか調べようと思っています。 rebind様、この対応で良いでしょうか?
- rebind
- ベストアンサー率30% (136/444)
そんなに気になるならHIPSを利用する手もありますよ。
お礼
windows explorerをカスペルスキーでは制限のゆるい[許可グループ]に入れているので HIPSはうまく機能しないかもしれない、と感じています。 フォルダがウイルス感染していないかについて、 [バイナリエディタソフトで開けなくて、さらにADSがなければ安全]という判断では やはり不十分ですか?
- rebind
- ベストアンサー率30% (136/444)
あの、ぶっちゃけて話すと、そんなに神経質になる必要ないです。 というのは、ADSをマルウェアが悪用することがあるというのはかなり前から知られていることだからです。最近の対策ソフトではADSもスキャンするようになってます。 参考までにスキャナーの例を下の画像で紹介します。
お礼
rebind様、教えてくださりありがとうございます。 フォルダがウイルス感染していないか調べる方法として、 フォルダをバイナリエディタソフトで開けなければ、そのフォルダはバイナリコードが付加されていない=ウイルス感染していないと判断していたのですが、 見た目も通常動作も「フォルダ」なのに、他のファイルも含むものを作成することは、 ファイルシステムがNTFSの場合は可能であると知って 調べている内に、ADSの存在に行き着きました。 フォルダがウイルス感染していないか調べる方法は、バイナリエディタソフトで開けなくて、さらにADSがなければ安全と考えてよいでしょうか?
補足
GMERはADSのあるすべてのファイルとフォルダを抽出するのでしょうか?
関連するQ&A
- 代替データストリームのあるフォルダの検出ソフト
代替データストリームはファイルだけではなくフォルダにも埋めることが可能ということですが ウイルス・ルートキットに感染していないxpパソコンにフォルダーを移動させて フォルダーに代替データストリーム(ADS)があるかどうか調べたいと思います。 こちらにADS検出ツールがまとめて紹介されています。 http://www.forensicfocus.com/dissecting-ntfs-hidden-streams ただ、果たしてこれらのツールはファイルだけではなく、フォルダのADSも検出できるのかが私にはわかりません。 フォルダのADSを検出できるソフトをご存知の方がいらっしゃいましたらご教示ください。
- 締切済み
- ウィルス・マルウェア
- NTFS 代替データストリームを検出
windows xpやvistaでファイル名を指定してそのファイルのNTFS代替データストリームを検出(名前を取得する)するAPI関数があったら教えてください。
- ベストアンサー
- C・C++・C#
- NTFSの代替ストリームについて教えてください
ネットを見ていて、ファイルの代替ストリームに別のファイルを入れることができるという内容のものがあったのですが、どうすればそれをできるのかおしえてください。また、そのページには、実行ファイルをテキストファイルに入れることができるとかいてあったのですが、組み合わせるファイルはどんな組み合わせでもよいのでしょうか。そこも知りたいです。詳しく解説が載っているサイトでもいいので、わかる方がいましたら教えてください。おねがいします。
- ベストアンサー
- その他([技術者向] コンピューター)
- 複数のデータストリーム?
MS-Word のファイル(NTFS上)をUSB メモリにコピーしたところ、 「ストリーム損失の警告:このファイルには、いくつかのデータストリームが含まれていますが、対象のボリュームはこの機能をサポートしません。そのため、データによっては保存されないものがあります。」 というメッセージが出ます。 ネットで調べると、 プログラマから見た NTFS 2000 Part1: ストリームとハード リンク http://www.microsoft.com/japan/msdn/windows/windows2000/ntfs5.asp このページに情報が書いてありました。いまいち理解し切れてないのですが。。 今のところ、ワードのファイルをUSBメモリにコピーした後、実害はなさそうなのですが、結局のところ、 (1)気にしなくて良いのでしょうか? (2)気にすべきなのは、どのようなワードファイルを作ったときなのでしょうか? おそらくプログラマでないと分からないと思ったので、このカテゴリに出させていただきました。
- ベストアンサー
- C・C++・C#
- ”○×△.folder”というマルウェアが検出されました。これは何でしょうか?
”○×△.folder”というファイル名のマルウェアが検出されました。 これは存在しているだけで脅威なのでしょうか? ダブルクリックするとどうなるのでしょうか?
- 締切済み
- スパイウェア
- 不審ファイル検出 RoozzUpdater.exe
不審ファイル検出 RoozzUpdater.exe セキュリティソフト McAfee(マカフィー) で不審なファイルの検出ってでました。 ファイル名は↓です。 c:\program files (x86)roozz\roozzupdater.exe ※\の部分はバックスラッシュです。 ※http://ja.wikipedia.org/wiki/%E3%83%90%E3%83%83%E3%82%AF%E3%82%B9%E3%83%A9%E3%83%83%E3%82%B7%E3%83%A5 これはなんですか? 危険ですか? どうすればいいのですか? Bogusware・攻撃・ウイルス・ ワーム・スパイウェア・ マルウェア
- ベストアンサー
- ウィルス・マルウェア
- ストリームについて
バイト・ストリームとキャラクタ・ストリームの2種類が存在していますが、バイト・ストリームは、生のバイト (イメージデータなど) を読み込む時、また、文字(テキストファイル)を読み込むときはキャラクタ・ストリームを利用するという認識で良いのでしょうか? テキストファイル(アルファベット、日本語)処理ならどんな場合でもキャラクタ・ストリーム(FileReader,FileWriter)を使えばいいという考えでよろしいのかということでしょうか? 逆にバイト・ストリームで読み込んで処理する場合も可能ですよね? その場合、テキストファイルをバイト・ストリームで扱うメリットってあるのでしょうか? 何故疑問に思ったのかと言いますと、参考書にバイト・ストリームを扱った例文があり、テキストファイルを処理していたためです。テキストファイルの処理ならキャラクタストリームでいいんじゃないかと思い、逆にバイトストリームで扱うメリットを知りたかったのです。 よろしくお願いいたします。
- ベストアンサー
- Java
- 消えたエクセルファイル 検出フォルダとは
外付けハードディスクで管理しているEXCELデータ なにかのエラーで、エクセルファイルが開けなくなってしまいました。 ファイルを別の場所へコピペをしようとしても、 開こうとしても、 エラー表示が出てしまい開けません なんとか修復をできないかと、 チェックディスクを行い ファイルシステムの修復を行いました 終了時に “いくつかの問題が検出され修復されました。 これらの問題により影響を受けたファイルは、デバイスまたはディスク上の"検出"フォルダに移動されました。デバイスまたはディスクを用意する準備はできています。” との表記が出ましたが、 もともとあったファイル自体がどこにも見当たりません これはエラー修復失敗。 ファイル自体が消滅した・・・との認識であっておりますでしょうか? もともと、開けなくなった時点で半分あきらめましたが もし修復できる、ファイルを開ける可能性があれば、 諦めきれないのでご教授お願いいたします
- 締切済み
- Windows 7
- SHIZというマルウェアは検出されますでしょうか?
実在企業をかたるメールに添付されていたWordファイルのマクロを迂闊にも実行してしまいました。 調べてみるとSHIZというマルウェアがダウンロードされ実行するマクロが組み込まれているとの事で、急いでスキャンしてみましたが、検出されませんでした。 これは感染していないのでしょうか?それとも検出されないのでしょうか? 調べてみてもよく分かりません… ご存じの方、教えてください。 ソフトはEST NODE32 を使用しています。 宜しくお願い致します。 ※OKWaveより補足:「ESETセキュリティ ソフトウェア シリーズ」についての質問です。
- 締切済み
- ウィルス・マルウェア
- 突然フォルダ内のデータが消えた
バックアップ用の外付けHDDにある動画ファイルなどがはいっているフォルダに、いつものようにアクセスしようとしたところ開けずについには、ドライブEのディスクはフォーマットされていません。今すぐフォーマットしますか。とでます。はいを押すとフォルダ内のデータがなくなると思い、いいえをクリックしています。プロパティでそのフォルダの容量を見ると2Gバイトくらいあったのですが0Mバイトになっていました。このような場合どうすれば良いのでしょうか。フォルダ内のデータは復元できるのでしょうか。どうかお教え願います。
- 締切済み
- Windows XP
お礼
rebind様、何度も教えてくださり重ね重ねありがとうございます。 全くウイルス・ルートキットに感染していないxpパソコンに フォルダとファイルを移動させて、ウイルスチェックをしようと考えています。 この場合、フォルダがフォルダでない偽装ファイルの場合はバイナリエディタソフトで開くことが出来るので見抜ける。 偽装ファイルでないことが判明したフォルダのhidden objectとして考えられるのはADSのみ。そしてフォルダのADS部分は全くウイルス・ルートキットに感染していないパソコンでは隠蔽できずにADS検出ツールで検知できるように思われますが間違っていますでしょうか? またファイルに関しては、調べたいファイルは拡張子がtxtやhtmlなどのテキストファイルだけなので、これはバイナリエディタソフトで開いて文字化けのような不自然なところがなければメインストリーム部分に関しては問題なしと判断しています。 テキストファイルのhidden objectで残っているのはADS部分だけだと思うので、こちらは全くウイルス・ルートキットに感染していないパソコンでは隠蔽できず、ADS検出ツールでADS部分が検出されたテキストファイルはすべて削除しようと考えています。
補足
ウイルス・ルートキットに感染していないパソコンでフォルダーとファイルを調べるので ルートキットによるファイルやADSの隠蔽は不可能だと考えています。 ファイルはテキストファイルだけなのでバイナリエディタソフトで解決できるとして 残るはファイルとフォルダーのADSの存在だけを調べることができれば良いと思うのですが http://www.forensicfocus.com/dissecting-ntfs-hidden-streams こちらにADS検出ツールがまとめて紹介されています。 ただ、果たしてこれらのツールはファイルだけではなく、フォルダのADSも検出できるのかが私にはわかりません。 rebind様、フォルダのADSを検出できるツールは上記サイトにありますでしょうか?