ひげおやじの秘密小屋 : アラビア語によるウィルス偽装方法+対策方法 - livedoor Blog(ブログ)
ちらほらネットを巡回していると、ちょいとヤバげなお話が。 なんでも、かなり面倒くさい偽装方法があるようなんですね。 簡単な目視チェックでは見落とし易く、誤ってウィルスを踏んでしまうという 恐ろしい事態を引き起こしかねないとかなんとか。 長いですが、そんな偽装方法と解決方法に関して書いてみたり。 【偽装方法について】 参考:こんなにお手軽な、ファイル拡張子の偽装方法が・・・Unicode 制御文字の挿入(RLO) 要はアラビア語コードの文体が右→左であり 日本語コードの文体が左→右と異なっている点を利用しているってお話です。 例えばファイル名が「virus.exe」なんてウィルスがあったとします。 これをアラビア語コードで書くと「exe.suriv」となって 拡張子がパッと見ただけではexeに見えないって寸法です。 「ああ拡張子だけじゃなくて先頭の文字列チェックすりゃいいのね。てかそもそも俺
RLOをパスに含むファイルの実行禁止をXP HomeEditionで - 3流(技術屋 and 本読み)
RLOをファイル名に含むと拡張子の偽装ができることと、その防御方法が去年くらいから話題になっていたが、WindowsXP HomeEditionにはローカルセキュリティポリシーを設定する機能が無い。それを可能にするのが以下の方法だ。 ※注意 出来ないとか起動しなくなったからといっても筆者は一切の責任を持ちません。自己責任で。 用意するもの WindowsXP Proのマシン レジストリエディタの知識 1.上記リンク先の設定をWindowsXP Proマシンに対して行う。 2.1.のマシンでRegeditを実行する。 3.HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Pathsへ移動する。 4.*(U+202E)*を検索する。即効で見つかるので、エクスポートする。 5.XPHome
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
