概要
volatilityの作法、調べてみた。
コンピュータウイルスの定義。
経済産業省が告示した「コンピュータウイルス対策基準」においては、コンピュータウイルスの定義
第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を一つ以上有するもの。
自己伝染機能
自らの機能によって、他のプログラムに自らをコピーし、又は、システム機能を利用して、自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能。潜伏機能
発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、条件が満たされるまで症状を出さない機能。発病機能
プログラムやデータ等のファイルの破壊を行ったり、コンピュータに異常な動作をさせる等の機能。
具体的に、
プログラムに寄生する極めて小さなプログラムであり、
自分自身を勝手に他のプログラムファイルにコピーする事により増殖し、
コンピュータウイルス自身にあらかじめ用意されていた内容により、
予期されない動作を起こす事を目的とした特異なプログラムです。
想定される侵入経路
- メール経由
- WEB経由
- 脆弱性があるOSやアプリケーション
- 外部メディア経由(USB・DVD等)
- ファイル共有ソフト
- スマートフォンの接続
ウイルスの種類
プログラムファイル感染型
最も基 本 的なウイルスプログラムでD O S 上のプログラムファイルに感染。
EXEファイルやCOMファイルシステムプログラム感染型
OS(オペレーティングシステム)が起動する為に必要なプログラムに感染。
SYSファイルなどマクロ型
マクロ機能を持ったアプリケーションのデータファイルに感染。
Microsoft Word、Microsoft Excel、Microsoft Power Point、Microsoft Access(Microsoft Office製品)Java・ActiveX型
ブラウザーを介して被害を及ぼす。
Microsoft Internet Explorerダイレクトアクション型
通常ウイルスに感染するには、添付ファイルを実行したり、ダウンロードしたファイルをダブルクリックする必要などがあるが、この場合はブラウザやOSなどのセキュリティホールを利用し、クリックすることなく自動的に感染させる。
検出手法
コンペア法
ウイルスの感染が疑わしい対象(検査対象)と安全な場所に保管してあるその対象の原本を比較し、異なっていれば感染を検出する場合をこの手法に分類する。パターンマッチング法
「パターンデータ」「ウイルスパターン」「パターンファイル」「ウイルス定義ファイル」等を用いて、何らかの特徴的なコードをパターンとしてウイルス検査対象と比較することで検出する場合をこの手法に分類する。
また、特徴的なコードの定義には、ファイル名、メール送受信者の名前やアドレス、送信経路情報、メールメッセージの表題、テキスト文章、バイナリ情報等も含めて考え、それらの登録情報(パターン)と検査対象の情報との比較による検出についても同手法によるものとする。チェックサム法/インテグリティチェック法
検査対象に対して別途ウイルスではないことを保証する情報を付加し、保証がないか無効であることで検出する場合をこの手法に分類する。
代表的な保証方法には「チェックサム」「ディジタル署名」等がある。ヒューリスティック法
ウイルスのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する場合をこの手法に分類する。
「動作の特徴コード」を検出に用いているかどうかが分類の大きな尺度となる。ビヘイビア法
ウイルスの実際の感染・発病動作を監視して検出する場合をこの手法に分類する。
感染・発病動作として「書込み動作」「複製動作」「破壊動作」等の動作そのものの異常を検知する場合だけでなく、感染・発病動作によって起こる環境の様々な変化を検知することによる場合もこの手法に分類する。
例えば、「例外ポート通信・不完パケット・通信量の異常増加・エラー量の異常増加」「送信時データと受信時データの量的変化・質的変化」等がそれにあたる。
以上。