【概要】
- ウイルス対策製品の動作
- 実行可能ファイルを実行すると、カーネルコールバックによってその動作を検出し、ファイルをスキャン
- 実行可能ファイルが既にディスクに存在していた場合、ファイル作成の段階で既にスキャンされていることから、プロセス作成過程でのスキャンは実行されない
- SMB共有経由の実行の場合
- プロセス作成の過程でもファイルのスキャンが行われる
- Windows Defenderの動作
- 疑似サーバを作成すればスキャンが失敗し、悪質なファイルを実行させることが可能
【ニュース】
◆Windows Defenderのウイルススキャン迂回問題、セキュリティ企業が公表 (ITmedia, 2017/09/29 07:30)
CyberArkによると、Microsoftの「Windows Defender」によるウイルススキャンの仕組みを突いて、マルウェアがWindows Defenderを迂回できてしまう問題があるという