P7 アンチ・文字列検索?
Hacker Defenderの設定ファイルを例に、検索ではなかなか見つけにくい例について説明。
設定ファイルの例(1)
[Hidden Table]
hxdef*
rcmd.exe
普通に Hidden などの文字列が記述されているので、文字列 Hidden を検索すればヒットすると思われます。しかし、、、
設定ファイルの例(2)
[H<<
>a/"ble]
>h"xdef"*
r|c
こちらでは、わざと < や | などの文字が含まれているので普通に検索すると見つからない可能性があります。正規表現を使うこともできますが、誤検知がひどくなると個人的には考えています。
ということで、文字列抽出を使えばこれらアンチ・文字列検索なデータでも発見できる可能性が高くなるかもなのです。