アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

DX32HHEC.SYS

kjm 先生のところ*1を読んで、Kernel mode rootkit のような動作をするらしい BackDoor-CHR(DX32HHEC.SYS)*2 に興味を惹かれる。ちょっと別件で試したいツールがあったのでVMware環境にWindows XP Professionalをインストールして環境を用意。
とりあえずネットワークケーブルは抜いておくとして、photos_arc.exe を実行して感染だぁ!!
良く読んだら、BackDoor-CHR はダウンロードしてくるんですね_| ̄|○