パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

特殊なSMBサーバーを使用してマルウェア検出を避ける攻撃「Illusion Gap」」記事へのコメント

  • by Anonymous Coward on 2017年10月01日 21時39分 (#3289003)

    アンチウィルスがSMBサーバからファイルをダウンロード。アンチウィルスがチェック後、ローダーに渡すという順序になっているものだとばかり思っていました。ローダーが改めてダウンロードし直すのはダウンロードを2回やってて無駄な動作じゃないでしょうか?

    • by Anonymous Coward

      通常はファイルがオープンされた後、メモリにマップされて、実行時に随時ロードという形だと思うし、それに加えてカーネル/ユーザ領域とかもあると思うので、ウィルスチェックのフックは別途とした方が実装しやすいんじゃない?
      でも、キャッシュしないんだろうかってのはある。

      • by Anonymous Coward

        フック云々のタイミングをdl後にすればいいだけなのでは?
        前半の内容は何の説明にもなってないような。

        • by Anonymous Coward

          メモリマップだとオープンしたときには特に読み込みが起きず、
          該当メモリへのアクセスがあった際にデータがメモリ上に読まれて居なければデータを読み込み、
          メモリ管理の都合でページアウトしてたらページフォルトの際に再度読み込みが行われる。
          つまり、プログラムの実行中ずっと走りっぱなしで、
          通常は実行ファイルが実行中に変化しないにも関わらず読み込みのたびに再スキャンすることになる。

          そしてここにフックを仕掛けるとローレベルのストレージアクセスないしはページフォルト管理システムに割り込む必要がある。
          前者の時点で結構コアな部分だし後者は完全にカーネルのコアな

        • by Anonymous Coward

          dl後という実装になってても、悪意あるSMBサーバの方を、先に来るアクセスの方を騙したら済むだけでは?

          そんなに難しい話ではなく、ウィルスチェックを付けたのが後付けだったから、ってだけな気がする。
          OSの仕様にも関わるようなややこしい所をがっつり大改造するより、ちょっとしたフックを使った簡単な実装で済ませようとした、とか。

          このストーリーのような指摘も、MS内で設計レビューの時点で誰かがツッコミを入れて、そうそう攻撃に使われるもんでもないし、
          それを避けるために大改造をしなくてもいいだろう、みたいな議論が終わってた、とかじゃないかな。

    • by Anonymous Coward

      ローカルに置かれているファイルと同様の扱いで、ネット越しだからとてファイルロードのコスパを考慮する発想が無いのでは。
      シンプルにアンチウイルスのプロセスがファイルチェックをしてOKしたら、Windowsのプロセスが対象のファイルをロードする、みたいな。

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...