2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

PersonalFirewallを回避するBackStealthだ!

1 :名無しさん@お腹いっぱい。:02/05/01 15:52
アイ・ディフェンス・ジャパン(ttp://www.idefense.co.jp/)からの情報。
パーソナルファイアウォールを回避できるユーティリティー・BackStealthが公開さる。
これは、パーソナルファイアウォールに割り当てられたメモリー空間で実行されるため、
個別のプロセスとして登録されない、という仕組み。

ttp://headlines.yahoo.co.jp/hl?a=20020501-00000018-vgb-sci

ガイシュツなら禿げしくごめん。

2 :名無しさん@お腹いっぱい。:02/05/01 15:52
2

3 : :02/05/01 15:58
ttps://www.netsecurity.ne.jp/article/2/4993.html

4 :名無しさん@お腹いっぱい。:02/05/01 16:01
参考までに…。
ニュー速+板にスレあるよ。
http://news.2ch.net/test/read.cgi/newsplus/1020231878/

5 :名無しさん@お腹いっぱい。:02/05/01 16:21
よくワカラン。誰か簡潔に教えてちょ

6 :名無しさん@お腹いっぱい。:02/05/01 16:50
>>5

パーソナルファイアウォールは、通常は、インターネットやイントラネットに、通信を行おうとするソフトウェア(コンピュータプログラム)を検知して、
「このソフトウェアはネットへの接続を求めています。ネットへの接続を許可していいですか?」とか、
「不当なソフト(トロイとかスパイウェア)がネットに通信しようとしたので、通信をブロックしました」とか、
前もって検知して、警告や通信のブロックをしてくれるんだけど、今回のブラックステレスとかいうやつは、
パーソナルファイアウォールの仕組みの欠陥をついて、事前にその検知ができないような仕組みにされている。

…と、多分こういうことだと思ふ。漏れも初心者に毛が生えたようなものなので、正確な説明かどうかは自信がない。

7 :名無しさん@お腹いっぱい。:02/05/01 17:46
>>6
バックステルスな。

TPF 3.0ならOKということはeSafeもOKなんだろか。

8 :6:02/05/01 18:10
>>7
失礼しますた。逝ってきます

9 :名無しさん@お腹いっぱい。:02/05/01 18:13
tooleakyなんかで言われていたことなんですか?それともこのバックステルスは
また違ったPFWすり抜けソフトなんでしょうか?

10 :名無しさん@お腹いっぱい。:02/05/01 18:21
ニュー速+板参照 ↓
http://news.2ch.net/test/read.cgi/newsplus/1020231878/1
>(冒頭部略)
>2001年11月には、TooLeakyやFireHoleといったツールが、
>インターネットへのアクセスが許可されたアプリケーションに取りつく>ことができることが立証された。


11 :名無しさん@お腹いっぱい。:02/05/01 18:22
>>9
>>1
>>3-4

12 :名無しさん@お腹いっぱい。:02/05/01 21:20
http://piorio.supereva.it/backstealth.htm
これから読む

13 :名無しさん@お腹いっぱい。:02/05/01 21:31
http://online.securityfocus.com/news/382
動作原理
Iorio said Backstealth is unique because it does not commandeer a trusted program,
but instead uses a Windows function called VirtualAlloc to inject itself into the
firewall's memory space.


14 :名無しさん@お腹いっぱい。:02/05/03 11:39
あまりにも情報が少なすぎて、対応のしようがない。

15 :名無しさん@お腹いっぱい。:02/05/03 12:00
>>14 ユーザレベルの設定で対応できる話じゃないよ。
俺は怪しいコードを実行させられたら負け。つーことでPFWには頼ってないが、
それを防御したいんなら、内→外もIPフォワードしないで認証ありのproxyサーバ使う事だね。


16 :名無しさん@お腹いっぱい。:02/05/03 15:47
>>15
つーか、ここまでわかっているなら、感染しているかどうかの見極め方とか、
駆除の方法とか位は、情報がありそうな気もするけど。

17 :名無しさん@お腹いっぱい。:02/05/04 23:53
これってそもそもトロイなんだよね?ならPFWを回避、とか,騒ぐのも結構だが
アンチウィルスソフトで検出・削除しろーっていうべきなんではないかいな?

18 :名無しさん@お腹いっぱい。:02/05/05 00:17
>>17 しかし、PFWの存在意義はアンチウィルスを突破されても、ネットワークアクセスを遮断できる
ところにあるので、対応しないわけにも行くまい。

19 :名無しさん@お腹いっぱい。:02/05/05 00:43
>>17
>これってそもそもトロイなんだよね?
テクニック(技法、アプローチ)だろ。
トロイにもなるし、スパイウェアにもなる。
アンチウィルスソフトでスパイウェア対策ですか?

20 :名無しさん@お腹いっぱい。:02/06/18 05:45
結局、どした?

21 :名無しさん@お腹いっぱい。:02/10/07 16:34
tes

22 :名無しさん@お腹いっぱい。:02/11/07 20:56
(・∀・)ハッケソ!

23 :山崎渉:03/01/15 16:01
(^^)

24 :山崎渉:03/01/16 04:02
(^^)

25 :山崎渉:03/03/13 17:57
(^^)

26 :山崎渉:03/04/17 12:20
(^^)

27 :山崎渉:03/04/20 06:14
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

28 :名無しさん@お腹いっぱい。:03/04/21 19:23
このスレ、よくも落ちずに残ってた物だな。

29 :名無しさん@お腹いっぱい。:03/05/17 13:15
ガイシュツなら禿げしくごめん。

30 :hamoda:03/05/17 16:07
誠実であり、実直であり、真剣にお客様のサポートします。
クーポン発行費&宣伝費用は1日あたり110円
http://www.c-gmf.com/index1.htm
http://www.c-gmf.com/index2.htm
http://www.c-gmf.com/index3.htm
http://www.c-gmf.com/mail.htm

31 :名無しさん@お腹いっぱい。:03/05/17 17:52
>>29-30
とっとと市ね。

32 :山崎渉:03/05/22 02:02
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

33 :山崎渉:03/05/28 17:14
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎――◎                      山崎渉

34 :しょしsんしぃお:03/07/10 08:03
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。@プイ

35 :名無しさん@お腹いっぱい。:03/07/10 21:54
またage2chか・・・。
使ってるヤツ氏ね。

36 :名無しさん@お腹いっぱい。:03/07/14 02:13
綺麗なお姉さんのパイパンおま○こ生写真を発見!
http://plaza16.mbn.or.jp/~satchel/omanko_marumie/

これはタマラン…(´Д`;)ハァハァ


37 :名無しさん@お腹いっぱい。:03/07/14 13:06
実は自分のPCに入れたPFWを評価するために↓のサイトにあった物を1週間くらい前に
入れてそのままになってるんですが、あれから何回もHDのスキャンをしているはず
なのに引っかかった記憶がないんです。
(LeakTestとは? ttp://www.geocities.jp/bruce_teller/security/leak.htm)

実際にいれたのは、LeakTest, FireHole, TooLeaky, LeakyTooで、私のところの結果はというと
Trendmicro, SymantecのオンラインスキャンとAVG6Free, Spybot-S&D, Ad-awareは素通りでした。
唯一GladiatorAntiVirus(現在は既に開発も配布もされていません)がLeakTestだけを検知しました
(でも他の3点は検知されず)。
実際に検出・削除するソフトってあるんでしょうか?

38 :名無しさん@お腹いっぱい。:03/07/14 21:40
kerioは全部ブロックしたけど。
IE許可しなきゃいいんじゃないの?

39 :名無しさん@お腹いっぱい。:03/07/14 21:54
37はネタまみれだな。

40 :名無しさん@お腹いっぱい。:03/07/15 00:24
>>37
TheCleanerというAntiTrojanソフトを使うと上記の中でやはりLeaktestは
検出・削除可能。解説で「これはPFWのテストの為のもので無害」
という注釈も出る。

41 :名無しさん@お腹いっぱい。:03/07/15 03:17
自分で入れるFWのテストツールなんだからウィルス&スパイ検出ソフト側も
対応させようとは思わないのでは。
有害なモノが出回ればそれぞれ対策をとってくれるんじゃないのかな。

42 :名無しさん@お腹いっぱい。:03/07/15 03:42
>>40
eicarみたいなもんだな。

43 :山崎 渉:03/07/15 11:05

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

44 :名無しさん@お腹いっぱい。:03/07/15 13:22
age

45 :37:03/07/15 21:57
>>38 kerio
これってPFWですよね? 私はSygateを入れてますが全てブロックできました。
「LeakTestとは?」の評価結果にもあるように、他のPFWでもブロックできそうです。
>>40 TheCleaner
こんなソフトがあるんですね。知りませんでした。
freeではなさそうですが、GAVの後釜を探していたところですので参考になります。
ありがとうございます。
この手の物をきっちり見つけてくれるツールって少ないんですかね。

46 :38:03/07/16 00:16
>>37
ウチの環境ではSygate重くて断念。
つーか
eaktestとは?を読み直してみたら、レジストリからデフォブラウザを調べて
それを利用するってくだりがあってかなり鬱デスワ
有名なソフト使わなければいいと思っていた自分が恥ずかスィ・・


ま、それは置いといて、マカフィーもleaktestは見つけるようですが、ttp://www.nai.com/japan/security/virL2001.asp?v=LeakTest
他のは検索しても出てこなかったからスルーしそうな予感がします

やっぱ通信リークテスト系までは面倒みてくれないんじゃないでしょか?



47 :名無しさん@お腹いっぱい。:03/07/16 00:22
>>45
Anti Virusソフト、Anti Trojanソフトの動作としては
Leak Testの類は検出しないのが正しい動作だと思うけど。
たとえばFireHoleのコンセプト(DLL Injection)を使った実際のトロイ
(Assasin,Optix Light FWB,Y3K RAT etc...)などは検出しなければ
ならないけど、FireHole自体はコンセプト・ツールなので、正しい動作と
しては検出すべきでない。(Eicar Test Virusのように世の中に
広く認知されているTest Virusは別にして)

GAVのcoderのMichael氏もそのことは良く分かっているけど、
Leak Testに対応したのはユーザーからの強い要望があったから
仕方なく対応しただけだし。

ところでGAVのcoderのMichael氏は某有名Anti Virus Venderに就職
が決まってしまったので、GAVの開発は終わってしまいましたが、
彼の持っていた約14,000種のPrimary TrojanはTrojan Hunterのcoderの
Magnus氏に引き渡されて、有効に活用されるようになりました。
GAVに寄付をした人は、Trojan Hunterのライセンスを無料で貰えます。
GAVの後釜というならTrojan Hunterだと思うけど、有料ですが。

48 :名無しさん@お腹いっぱい。:03/07/16 01:24
>>47 Eicar Test Virusのように世の中に広く認知されている
Test Virusは別にして

別にしてというか、Eicarはアンチウィルスソフトのテストだから
検出しなきゃならない類のものでしょう・・揚げ足取りみたいでスマソ







49 :ぼるじょあ ◆yBEncckFOU :03/08/02 05:01
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ

50 :山崎 渉:03/08/15 23:26
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン

51 :名無しさん@お腹いっぱい。:03/08/25 13:31
HTTPプロトコルを使うということはルーターもすり抜けるということですか?

12 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)