- 2005年11月29日 02:10
- from Web
http://itpro.nikkeibp.co.jp/article/NEWS/20051112/224461/
ちょっと前の記事だけど。デバドラのセキュリティを突くっていうのはスキルさえあればできるかもしれない。
IOCTLとかIRPとかを正規の物と偽装してデバドラに投げればいいわけだし、カーネルデバッガとか使えばどのデバドラがハードとどういう通信をしてるかってのは根気よく解析すればわかるだろうし。そうすると、たとえばハードとかと何か秘匿性の高いデータ通信をしていてもそれを乗っ取られるとか(フィルタドライバ入れて…)ってのはあながちあり得ない話しではないかも。
じゃあ開発者側はどうすればいいんだろ。デバドラのセキュリティなんて資料はほとんど存在しないし、IRPとかの偽装を検知するために何ができるか…。安直に考えるとデータを暗号化するか、何か識別子を埋め込んでおくとかそういうことになるのかなぁ…。
あとは自分のドライバの上位下位のデバイスオブジェクトが想定した正規のドライバか判定する…ってこれは環境依存しそうだから難しいか。
ウイルススキャンのソフトも、ファイルシステムドライバの上位レイヤにフィルタドライバとしてスキャンエンジンを組み込むことで、ファイルを読み書きする際のデータを全てスキャンできてるわけだし、近ごろ話題になったソニーの音楽CDのrootkit騒ぎもフィルタドライバ(CD-ROMドライブのアクセスに対しての)だったはず。
だからそういうのをこっそりシステムに入れることができるとデータなんて筒抜けなのよね…。そう考えるとドライバって扱いがかなり難しいけど、けっこうクリティカルなプログラムなんだよな。
- Newer: 株高
- Older: 自分に合った手帳の選び方
Comments:0
Trackbacks:0
- TrackBack URL for this entry
- http://www.swingingblue.net/mt/mt-tb.cgi/747
- Listed below are links to weblogs that reference
- 「Windowsドライバの脆弱性を突く攻撃に注意せよ」、米ISSの専門家が警告 from きままな日記帳
