フォティーンフォティ技術研究所 先端技術研究部 リサーチ・エンジニア 舟久保 貴彦 前回紹介した通り,SMM(システム管理モード)はOSやVMM(バーチャル・マシン・モニター)にその存在を気付かせることなく動作し,ロックを掛けることによりSMMの処理プログラムを完全に隠ぺいできる特徴がある。密かに盗聴などの活動をするルートキットには都合が良い動作環境と言える。今回は,SMMルートキットの論文で話題に上ることが多いSMMキーロガーの動作原理について解説する。 SMMで動作するプログラム(例外なくSMMキーロガーも含む)は,リアル・モードに似た16ビット・モードで動作するが,Memory Extension Addressingと呼ばれる技術を使って4Gバイトの物理メモリー領域にフルアクセスできる。メモリー上に存在するOSのデータからユーザー・アプリケーションのデータまで,あらゆるメモリー・デ
![第12回 SMMを悪用したキーロガー](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)