TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

Windows Defenderのウイルススキャン迂回問題、セキュリティ企業が公表

【概要】

  • ウイルス対策製品の動作
    • 実行可能ファイルを実行すると、カーネルコールバックによってその動作を検出し、ファイルをスキャン
    • 実行可能ファイルが既にディスクに存在していた場合、ファイル作成の段階で既にスキャンされていることから、プロセス作成過程でのスキャンは実行されない
  • SMB共有経由の実行の場合
    • プロセス作成の過程でもファイルのスキャンが行われる
  • Windows Defenderの動作
    • 疑似サーバを作成すればスキャンが失敗し、悪質なファイルを実行させることが可能


【ニュース】

Windows Defenderのウイルススキャン迂回問題、セキュリティ企業が公表 (ITmedia, 2017/09/29 07:30)
CyberArkによると、Microsoftの「Windows Defender」によるウイルススキャンの仕組みを突いて、マルウェアWindows Defenderを迂回できてしまう問題があるという
http://www.itmedia.co.jp/news/articles/1709/29/news064.html


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019