アカウント名:
パスワード:
現状でアレゲ方面に関心があるのは、C#で作成した実行ファイルから、作成したPCが特定出来るという事ではないだろうか。もし本当であれば、意図しない情報漏洩に繋がる恐れがあると思う。例えば、顧客に末端の下請けの情報が漏れれば、営業上問題が起こる事もあるでしょう。
前にアセンブリ情報に書かれたGUIDから特定したんじゃないかという情報があったけども、それならばPC内に他のソース一式が見つかってもおかしくないでしょう。同じくアセンブリ情報に会社名や著作権者名があったとしても、PCまでは特定出来ないでしょう。
作成元の証明という観点で、コードサイニング以外にどういう手段があるのか、興味は尽きません。
私も実行ファイルや、USBメモリに入っていたソースがあるなら、GUIDを使って犯人のPCかどうか検証できると思っていたのですが、現在使われているGUIDはMACアドレス(の一部)は含まれていないそうで
たとえば、ここGUIDの謎(遠隔操作ウィルス事件) [nebula2.asks.jp]とか。スラド的には下部にあるリンク先のStack overflowのQ&A [stackoverflow.com]のほうが分かりやすいかも
ほんとうに、何をもって作成したPCと特定したのやら
押収したPCにプロジェクトファイルが残っていたりするとわかりやすいんだけどね。コンパイル実行すると、同じバイナリが出てきたとか。
C#で作成した実行ファイルから、作成したPCが特定出来るという事ではないだろうか。
警察から発表されている情報では、実行ファイルから作成したPCを特定したとは言い切れないのでは?明らかにされている情報では、dropbox内に、これまで作成された全バージョンの、ウイルスソフトの情報がみつかった該当dropboxの情報は、容疑者が勤務していた会社内からアップロードされた形跡があったというだけなので。
今回の犯人はdropboxでバイナリ公開を行っていますが、同じアカウントで(非公開で)ソースなりプロジェクトなりをdropbox内に保存していた可能性も否定できない。ネコの首輪につけられたSDカード内のソースとdropbox内のソースが一致した、という可能性もあるでしょう。
同じくアセンブリ情報に会社名や著作権者名があったとしても、PCまでは特定出来ないでしょう。
アセンブリ情報に含まれるGUIDはPCの情報およびアセンブリの作成時刻からほぼ一意に作成されますよ。異なるPC上で作成された別々のアセンブリのGUIDが「衝突」する確率は、ほぼゼロと考えていいと思います。
今のWindowsにおいて、GUIDは擬似乱数で生成する方式(バージョン4)が一般的です。そのため、GUIDから作成したPCの情報は判別できないと思います。
> そのため、GUIDから作成したPCの情報は判別できないGUIDV4の値から、そのプログラムを作成したPCを探すことはできません。それはおっしゃるとおり。しかしながら生成されたGUIDはアセンブリ情報としてファイル中に書き込まれますし、ocx開発を行えばレジストリ中にも記録されます。このため、プログラム作成につかったプロジェクトファイルと、そのプロジェクトをビルド&デバッグするのに使用したPCとを突き合わせてセクタスキャンやレジストリスキャンを行えば、そのプログラムがそのPC上でビルドされたものであるかどうかを検証することができます。
さらに余談ですが、USBフラッシュメモリをPCに刺した場合もレジストリ中にUSBフラッシュメモリのベンダIDが残ります。これも突き合わせには使用できますね。
> しかしながら生成されたGUIDはアセンブリ情報としてファイル中に書き込まれますし、ocx開発を行えばレジストリ中にも記録されます。
ファイルってAssemblyInfo.csですか?そのファイルがあるなら、ソースもあってGUID使わずとも、そのPCで開発した事は確定でしょう。レジストリって線も、COM登録とかしたとはとても思えませんね。ウィルス作ってる時に、会社のPCで試すとは思えない。まぁそれくらい間抜けかもしれないので断言は出来ませんが。
ビルドにしたって、万が一会社のウィルス対策ソフトの、ヒューリスティック検知とかに引っ掛かったりしたら、と考えるとどうなんでしょう。現実的では無いような気がしています。
ソースを保存していたUSBメモリが見つかれば、シリアル番号とかで突き合わせも出来るかもしれないですね。指紋とかDNAとか物理的な証拠も見つかるかも知れませんし。SDカードってレジストリやログにシリアル残ったりしないのかな。
> レジストリって線も、COM登録とかしたとはとても思えませんね。今回捜索されたDropboxのアカウント内に真に「ウイルス本体とウイルスのソース」だけを保存していたのならそうかもしれませんね。ただ、そのアカウントで真にウイルス関連の情報だけを保存していたのかどうかはわかりません。もしかすると他の「有用なソフト」の開発ソースも保存してたかもしれないわけで、そこらへんはなんともいえませんね。
報道されている事が警察の発表と等しい保証もなく、警察の発表した事が捜査員達の認識と等しい保証もない。ぶっちゃけ、全てが間違っている可能性がある。なんとも不毛。雑談にしたって不毛過ぎる。
iesys.exe にPCベンダ情報と思われる物が埋め込まれていたようです。
http://nebula2.asks.jp/86966.html [nebula2.asks.jp]
> AssemblyInfoは、プログラミング言語のアセンブラとは関係ない。名前が似ているだけ。一応念のため。そのアセンブリってのは「アセンブラでアセンブルしてアセンブリを作る」のアセンブリと同じで名前が似てるどころか同じ単語の変化形で関係も大有りなんだけどな・・・人のことバカにする前に知ったかぶるのをどーにかせいよと。そもそもアセンブラって書くと言語じゃなくて翻訳機を指すこと多いし素直にアセンブリ言語って呼べよ・・・全く同じ単語になるぞ。
とか突っ込みたかったけどACコメント禁止だったちくせう
Windowsをインストールしたときの会社名とか、そういうのって入ってないんだろうか。
C#はどうだったか忘れましたけど、Cだと初期設定のままだとビルドした時のパスが埋め込まれますね。マイドキュメント等で作業してるとユーザ名がバレバレ。アプリ公開した時の初期バージョンでやらかしたorz
入ってたとしてもそんなのいくらでも捏造できるわな。
証拠として、捏造できるものは挙げてない、という保証もないわな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
オフトピだが (スコア:3, 参考になる)
現状でアレゲ方面に関心があるのは、C#で作成した実行ファイルから、作成したPCが特定出来るという事ではないだろうか。
もし本当であれば、意図しない情報漏洩に繋がる恐れがあると思う。
例えば、顧客に末端の下請けの情報が漏れれば、営業上問題が起こる事もあるでしょう。
前にアセンブリ情報に書かれたGUIDから特定したんじゃないかという情報があったけども、
それならばPC内に他のソース一式が見つかってもおかしくないでしょう。
同じくアセンブリ情報に会社名や著作権者名があったとしても、PCまでは特定出来ないでしょう。
作成元の証明という観点で、コードサイニング以外にどういう手段があるのか、興味は尽きません。
Re:オフトピだが (スコア:2)
私も実行ファイルや、USBメモリに入っていたソースがあるなら、GUIDを使って
犯人のPCかどうか検証できると思っていたのですが、現在使われているGUIDは
MACアドレス(の一部)は含まれていないそうで
たとえば、ここGUIDの謎(遠隔操作ウィルス事件) [nebula2.asks.jp]とか。
スラド的には下部にあるリンク先のStack overflowのQ&A [stackoverflow.com]のほうが分かりやすいかも
ほんとうに、何をもって作成したPCと特定したのやら
Re: (スコア:0)
押収したPCにプロジェクトファイルが残っていたりするとわかりやすいんだけどね。
コンパイル実行すると、同じバイナリが出てきたとか。
Re:オフトピだが (スコア:1)
警察から発表されている情報では、実行ファイルから作成したPCを特定したとは言い切れないのでは?
明らかにされている情報では、
dropbox内に、これまで作成された全バージョンの、ウイルスソフトの情報がみつかった
該当dropboxの情報は、容疑者が勤務していた会社内からアップロードされた形跡があった
というだけなので。
今回の犯人はdropboxでバイナリ公開を行っていますが、同じアカウントで(非公開で)ソースなりプロジェクトなりをdropbox内に保存していた可能性も否定できない。ネコの首輪につけられたSDカード内のソースとdropbox内のソースが一致した、という可能性もあるでしょう。
同じくアセンブリ情報に会社名や著作権者名があったとしても、PCまでは特定出来ないでしょう。
アセンブリ情報に含まれるGUIDはPCの情報およびアセンブリの作成時刻からほぼ一意に作成されますよ。異なるPC上で作成された別々のアセンブリのGUIDが「衝突」する確率は、ほぼゼロと考えていいと思います。
Re: (スコア:0)
今のWindowsにおいて、GUIDは擬似乱数で生成する方式(バージョン4)が一般的です。そのため、GUIDから作成したPCの情報は判別できないと思います。
Re:オフトピだが (スコア:1)
> そのため、GUIDから作成したPCの情報は判別できない
GUIDV4の値から、そのプログラムを作成したPCを探すことはできません。それはおっしゃるとおり。
しかしながら生成されたGUIDはアセンブリ情報としてファイル中に書き込まれますし、ocx開発を行えばレジストリ中にも記録されます。
このため、プログラム作成につかったプロジェクトファイルと、そのプロジェクトをビルド&デバッグするのに使用したPCとを突き合わせてセクタスキャンやレジストリスキャンを行えば、そのプログラムがそのPC上でビルドされたものであるかどうかを検証することができます。
さらに余談ですが、USBフラッシュメモリをPCに刺した場合もレジストリ中にUSBフラッシュメモリのベンダIDが残ります。これも突き合わせには使用できますね。
Re: (スコア:0)
> しかしながら生成されたGUIDはアセンブリ情報としてファイル中に書き込まれますし、ocx開発を行えばレジストリ中にも記録されます。
ファイルってAssemblyInfo.csですか?そのファイルがあるなら、ソースもあってGUID使わずとも、そのPCで開発した事は確定でしょう。
レジストリって線も、COM登録とかしたとはとても思えませんね。
ウィルス作ってる時に、会社のPCで試すとは思えない。
まぁそれくらい間抜けかもしれないので断言は出来ませんが。
ビルドにしたって、万が一会社のウィルス対策ソフトの、ヒューリスティック検知とかに引っ掛かったりしたら、と考えるとどうなんでしょう。
現実的では無いような気がしています。
ソースを保存していたUSBメモリが見つかれば、シリアル番号とかで突き合わせも出来るかもしれないですね。
指紋とかDNAとか物理的な証拠も見つかるかも知れませんし。
SDカードってレジストリやログにシリアル残ったりしないのかな。
Re: (スコア:0)
> レジストリって線も、COM登録とかしたとはとても思えませんね。
今回捜索されたDropboxのアカウント内に真に「ウイルス本体とウイルスのソース」だけを保存していたのならそうかもしれませんね。
ただ、そのアカウントで真にウイルス関連の情報だけを保存していたのかどうかはわかりません。もしかすると他の「有用なソフト」の開発ソースも保存してたかもしれないわけで、そこらへんはなんともいえませんね。
Re: (スコア:0)
報道されている事が警察の発表と等しい保証もなく、
警察の発表した事が捜査員達の認識と等しい保証もない。
ぶっちゃけ、全てが間違っている可能性がある。
なんとも不毛。雑談にしたって不毛過ぎる。
Hewlett-Packard Company 2012 (スコア:1)
iesys.exe にPCベンダ情報と思われる物が埋め込まれていたようです。
http://nebula2.asks.jp/86966.html [nebula2.asks.jp]
Re: (スコア:0)
> AssemblyInfoは、プログラミング言語のアセンブラとは関係ない。名前が似ているだけ。一応念のため。
そのアセンブリってのは「アセンブラでアセンブルしてアセンブリを作る」のアセンブリと同じで名前が似てるどころか同じ単語の変化形で関係も大有りなんだけどな・・・
人のことバカにする前に知ったかぶるのをどーにかせいよと。
そもそもアセンブラって書くと言語じゃなくて翻訳機を指すこと多いし素直にアセンブリ言語って呼べよ・・・全く同じ単語になるぞ。
とか突っ込みたかったけどACコメント禁止だったちくせう
Re: (スコア:0)
Windowsをインストールしたときの会社名とか、そういうのって入ってないんだろうか。
Re:オフトピだが (スコア:1)
C#はどうだったか忘れましたけど、
Cだと初期設定のままだとビルドした時のパスが埋め込まれますね。
マイドキュメント等で作業してるとユーザ名がバレバレ。
アプリ公開した時の初期バージョンでやらかしたorz
Re:オフトピだが (スコア:1)
Re: (スコア:0)
入ってたとしてもそんなのいくらでも捏造できるわな。
Re: (スコア:0)
証拠として、捏造できるものは挙げてない、という保証もないわな。