アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

感染か?仕様か?

ウィルスチェックしても何もひっかからない。けど他から感染していると報告される。
さて、どっちを信用すればいいのか?
パターンが最新ならウイルスチェックソフトを信用してもよい気がしますが、ひょっとすると最新型だったりするとアレですね。
複数のウイルス対策ソフトでチェックする、というのは簡単ですけどインストール大変なので個人的にはイメージ作ってオフラインで調べたほうが早いとか思っちゃいますねぇ。*1
稼働中のままで、怪しい端末を調べる場合には、パケットを送信しているプロセスが安全なものなのか調べて潰していくことになりますかね。
送信元ポートと宛先ポート番号が把握できているのであれば、送信しているプロセスを特定して、そいつが何者か調べる、と書くのは簡単ですけど、怪しいかも!と思ったプロセス(実行ファイル)が何者か調べる*2必要もあったりで・・・なかなか簡単に終わりませんねぇ。

*1:稼働中システムでなんだかんだとワケワカな状態で調べている時間より、イメージを作成してチェックする時間のほうが短かったりする場合があるわけで

*2:とりあえずウイルス対策ソフトで確認、でもそれで検知できるならもっと前に確認できてますやね。そうするとSigverifとかの出番ですかね