HOME»情報処理安全確保支援士掲示板»平成25年春午後1 問1 設問3(1)
投稿する
»[0713] 平成22年春 午後1 問2 設問3 TPMについて 投稿数:6
»[0712] 平成29年春午後Ⅰ 問1の設問2について 投稿数:12
平成25年春午後1 問1 設問3(1) [0715]
トカノさん(No.1)
スレッドタイトルの問題の
マルウェアを発見されにくくする工夫についてですが、
表2マルウェアの解析結果の概要の「共通」項目のところに
「感染したPCのパーソナルファイアーウォール及びJ社が利用するウイルス対策ソフトのファイアーウォール機能を無効にする」とあります。
この部分も、マルウェアを発見されにくくするには有効だと思うのですが、なぜ解答には含まれなかったのでしょうか?
(正式回答はタイムスタンプとパック処理の2つでした。)
マルウェアを発見されにくくする工夫についてですが、
表2マルウェアの解析結果の概要の「共通」項目のところに
「感染したPCのパーソナルファイアーウォール及びJ社が利用するウイルス対策ソフトのファイアーウォール機能を無効にする」とあります。
この部分も、マルウェアを発見されにくくするには有効だと思うのですが、なぜ解答には含まれなかったのでしょうか?
(正式回答はタイムスタンプとパック処理の2つでした。)
2021.09.17 08:37
わいわいさん(No.2)
多少主観的な回答になる点ご容赦ください
マルウェアを発見されにくくする工夫ですが
・パック処理されていること
これによりウイルス対策ソフトのファイルパターンマッチングをすり抜けさせる
・タイムスタンプを変更していること
人間により怪しいファイルを日付ベースで検索をした際にすり抜けさせる
と考えられます
・「パーソナルファイアウォール~」
これも一定の範囲で発見を免れることは可能ですが
主たる目的は、
・C&Cサーバとの通信
・別PC&サーバへの感染
といった攻撃的意図のためと読み取れます
マルウェアを発見されにくくする工夫ですが
・パック処理されていること
これによりウイルス対策ソフトのファイルパターンマッチングをすり抜けさせる
・タイムスタンプを変更していること
人間により怪しいファイルを日付ベースで検索をした際にすり抜けさせる
と考えられます
・「パーソナルファイアウォール~」
これも一定の範囲で発見を免れることは可能ですが
主たる目的は、
・C&Cサーバとの通信
・別PC&サーバへの感染
といった攻撃的意図のためと読み取れます
2021.09.17 09:23
受験生さん(No.3)
無効にすれば、確かにマルウェアがセキュリティ対策ソフトウェアに検出される危険性は減りますが、『通常無効にしないはずのセキュリティ対策ソフトウェアが無効になっている』という状態が異常なので、利用者に解析される可能性がある、ということだと思いますよ。
上の方が言っている「主たる目的」で言うのなら、セキュリティ対策ソフトウェアを無効にしたほうがソフトウェアに検出される可能性は低くなるので理由になってませんね。
上の方が言っている「主たる目的」で言うのなら、セキュリティ対策ソフトウェアを無効にしたほうがソフトウェアに検出される可能性は低くなるので理由になってませんね。
2021.09.17 10:28
雲霧さん(No.4)
「発見されにくい」という観点では、
・パック処理:パターンマッチングで検出しにくい
・タイムスタンプ偽装:感染経路がトレースしにくくなる
は発見されにくいと思います。
・FW無効:無効にしてC&Cサーバとの通信が遮断されにくくなる
はあくまで遮断に対してであって、無効であることで発見はバレバレかと思います。
・パック処理:パターンマッチングで検出しにくい
・タイムスタンプ偽装:感染経路がトレースしにくくなる
は発見されにくいと思います。
・FW無効:無効にしてC&Cサーバとの通信が遮断されにくくなる
はあくまで遮断に対してであって、無効であることで発見はバレバレかと思います。
2021.09.18 00:27
トカノさん(No.5)
なるほど。。
皆様、ありがとうございました!
皆様、ありがとうございました!
2021.09.20 08:01
その他のスレッド
»[0714] H23秋 午後1問3 設問1(2)HTTPS 投稿数:6»[0713] 平成22年春 午後1 問2 設問3 TPMについて 投稿数:6
»[0712] 平成29年春午後Ⅰ 問1の設問2について 投稿数:12