アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

誤検知

3/5 のネタといえばネタだったんですが、ちょうど grin さんのところで書かれていたので書いちゃおう。

chkrootkitメモ
http://grin.flagbind.jp/archives/2005/03/chkrootkit.html

chkrootkit の使い方は簡単ですので、すぐに使うことができると思いますが、もし手元に「不正アクセス調査ガイド」があればそちらでも詳しく書かれています。
で、使う前によく考えておかないといけないのはツールがrootkitを「検知」した場合なんですよね。
例えば、先日のネタ(id:hideakii:20050225)ですが、あれは chkrootkit の誤検知でした。といっても、誤検知だと確認取るの大変ですやね、特に LKM rootkit が検知されてしまうと(笑)
オンラインで Kernel rootkit を相手に調査してもほとんど意味ない*1ですし、そもそも「誤検知」ですからねぇ、探してもなんもないんですよねorz
こいう場合、オフラインで*2(もしくはイメージを作って)コンピュータ・フォレンジックな技術で調査するとか、ネットワーク・フォレンジックでその rootkit が仕掛けられたと考えられる時間帯の通信を確認してみるとか必要になるわけです。

*1:コマンドの結果を信用できるか?というと最終的には信用できない

*2:Kernel rootkitの影響を受けない状態にする