平成25年春午後1 問1 設問3(1)

トカノさん  
(No.1)
スレッドタイトルの問題の
マルウェアを発見されにくくする工夫についてですが、
表2マルウェアの解析結果の概要の「共通」項目のところに
「感染したPCのパーソナルファイアーウォール及びJ社が利用するウイルス対策ソフトのファイアーウォール機能を無効にする」とあります。

この部分も、マルウェアを発見されにくくするには有効だと思うのですが、なぜ解答には含まれなかったのでしょうか?
(正式回答はタイムスタンプとパック処理の2つでした。)
2021.09.17 08:37
わいわいさん 
(No.2)
多少主観的な回答になる点ご容赦ください

マルウェアを発見されにくくする工夫ですが
・パック処理されていること
  これによりウイルス対策ソフトのファイルパターンマッチングをすり抜けさせる
・タイムスタンプを変更していること
  人間により怪しいファイルを日付ベースで検索をした際にすり抜けさせる
と考えられます

・「パーソナルファイアウォール~」
これも一定の範囲で発見を免れることは可能ですが
主たる目的は、
・C&Cサーバとの通信
・別PC&サーバへの感染
といった攻撃的意図のためと読み取れます
2021.09.17 09:23
受験生さん 
(No.3)
無効にすれば、確かにマルウェアがセキュリティ対策ソフトウェアに検出される危険性は減りますが、『通常無効にしないはずのセキュリティ対策ソフトウェアが無効になっている』という状態が異常なので、利用者に解析される可能性がある、ということだと思いますよ。

上の方が言っている「主たる目的」で言うのなら、セキュリティ対策ソフトウェアを無効にしたほうがソフトウェアに検出される可能性は低くなるので理由になってませんね。
2021.09.17 10:28
雲霧さん 
(No.4)
「発見されにくい」という観点では、
・パック処理:パターンマッチングで検出しにくい
・タイムスタンプ偽装:感染経路がトレースしにくくなる
は発見されにくいと思います。

・FW無効:無効にしてC&Cサーバとの通信が遮断されにくくなる
はあくまで遮断に対してであって、無効であることで発見はバレバレかと思います。
2021.09.18 00:27
トカノさん  
(No.5)
なるほど。。
皆様、ありがとうございました!
2021.09.20 08:01

返信投稿用フォーム

※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿番号:
パスワード:

その他のスレッド


Pagetop