2007年02月04日 - RootkitRevealerによるHKLM \Security \Policy \Secrets \SACとSAI検出
RootkitRevealerは著名なルートキット検出ツールである。昨年リリースされたver1.71では、いかなるマルウェアにも感染していないのに2つのレジストリエントリが検出されるようになった。
検出されたレジストリはいずれも通常は非表示扱いなのでレジストリエディタよりは確認できず、「Rootkitに感染しているから表示されないんだ!」と誤解されそうな気がする。
テストしたパソコンはWindowsXP SP2で、VirtualPCのゲストドライブである。インストール後にほとんど設定をいじっておらず、いかなるマルウェアにもルートキットにも感染していない。
旧バージョンのRootkitRevealer ver1.7をまずは試す。
RootkitRevealer.zipをダウンロードして解凍。RootkitRevealer.exeを実行。
Optionの「Hide standard NTFS Metadata files」と「Scan Registry」などは変更せず、デフォルトの状態でスキャンを開始する。
何も検出されず「Scan complete: no discrepancies found.」と表示された。
次に現在配布されているバージョンのRootkitRevealer ver1.71にて、先ほどのver1.7と同様にスキャン開始。
直後に2つのレジストリエントリ - HKLM\SECURITY\Policy\Secrets\SAC と
HKLM\SECURITY\Policy\Secrets\SAI が表示されるだろう。
結果は「Scan complete: 2 discrepancies found.」
Descriptionは「Key name contains embedded nulls (*)」である。
(*クリックで拡大)
説明書たるRootkitRevealer.chmを読んでも、このレジストリエントリを検出した理由については全く記載されていない。
Sysinternals Forumsにて、ver 1.71よりSecurityハイブもスキャンするようになったので検出されてしまうが正常な動作だ、と説明されているのが唯一の情報だろうか。
2つのレジストリエントリは、レジストリエディタより探しても表示されないだろう。SECURITYキーの情報は通常は非表示となっているからだ。
これではRootkitRevealerを試し驚いたユーザーは、実際にレジストリを開いても表示されないので余計に焦るだろう。
「表示されない!やっぱりルートキットに感染しているんだ!」と。
Rootkit(ルートキット)とWindows(2005年10月20日)(Semplice)
検出されたレジストリはいずれも通常は非表示扱いなのでレジストリエディタよりは確認できず、「Rootkitに感染しているから表示されないんだ!」と誤解されそうな気がする。
RootkitRevealerの検出にルートキット発見か?と驚く
テストしたパソコンはWindowsXP SP2で、VirtualPCのゲストドライブである。インストール後にほとんど設定をいじっておらず、いかなるマルウェアにもルートキットにも感染していない。
旧バージョンのRootkitRevealer ver1.7をまずは試す。
RootkitRevealer.zipをダウンロードして解凍。RootkitRevealer.exeを実行。
Optionの「Hide standard NTFS Metadata files」と「Scan Registry」などは変更せず、デフォルトの状態でスキャンを開始する。
何も検出されず「Scan complete: no discrepancies found.」と表示された。
次に現在配布されているバージョンのRootkitRevealer ver1.71にて、先ほどのver1.7と同様にスキャン開始。
直後に2つのレジストリエントリ - HKLM\SECURITY\Policy\Secrets\SAC と
HKLM\SECURITY\Policy\Secrets\SAI が表示されるだろう。
結果は「Scan complete: 2 discrepancies found.」
Descriptionは「Key name contains embedded nulls (*)」である。
(*クリックで拡大)
説明書たるRootkitRevealer.chmを読んでも、このレジストリエントリを検出した理由については全く記載されていない。
Sysinternals Forumsにて、ver 1.71よりSecurityハイブもスキャンするようになったので検出されてしまうが正常な動作だ、と説明されているのが唯一の情報だろうか。
Before posting, please note that RKR 1.71 now scans the HKLM\Security security hive. As a consequence it finds keys with trailing nulls such as
HKLM\Security\Policy\Secrets\SAC*
HKLM\Security\Policy\Secrets\SAI*
This is normal behaviour and need not be cause for alarm.
Topic: RKR 1.71 and HKLM\Security\Policy\Secrets (Sysinternals Forums)
2つのレジストリエントリは、レジストリエディタより探しても表示されないだろう。SECURITYキーの情報は通常は非表示となっているからだ。
これではRootkitRevealerを試し驚いたユーザーは、実際にレジストリを開いても表示されないので余計に焦るだろう。
「表示されない!やっぱりルートキットに感染しているんだ!」と。
関連記事
Rootkit(ルートキット)とWindows(2005年10月20日)(Semplice)
この記事へのコメント
これ試したところ、システムが停止してしまいました。orz
Posted by ベルモンツ
at 2007年02月08日 18:20
あら。。。。何があったんでしょうか。
参考のために伺いたいんですが、常駐ソフトウェアは何をインストールして利用しておりましたか?
参考のために伺いたいんですが、常駐ソフトウェアは何をインストールして利用しておりましたか?
Posted by Luca
at 2007年02月08日 20:26
う〜んかなり多いので(20以上?)原因はつかみきれません。
ひとつずつ試すほどのものでもなさそうですし。
どれも必要な物で、これでも最小限です。
ひとつずつ試すほどのものでもなさそうですし。
どれも必要な物で、これでも最小限です。
Posted by ベルモンツ
at 2007年02月09日 19:40
一見すると全く無関係であるように思われるソフトウェアが、意外な場で他のソフトウェアとバッティングしたりする事例も多々ありますからね。
原因を解明するのは各々の環境に依存する問題でありますし、容易ではないんですが。
もしも「これが原因かぁー!」と判明しましたらば、是非とも教えてください。
凄く気になる。。。。
原因を解明するのは各々の環境に依存する問題でありますし、容易ではないんですが。
もしも「これが原因かぁー!」と判明しましたらば、是非とも教えてください。
凄く気になる。。。。
Posted by Luca
at 2007年02月09日 20:22
やっぱり怪しいのは、NSW2005とBlackICEなどの監視アプリのような気がします。
それと、WinPatrolも。
それと、WinPatrolも。
Posted by ベルモンツ
at 2007年02月11日 01:38
