IATフッキングに関する質問?
マルウェアによるIATフックを調査しましたが、まだいくつか質問があります。
メモリ内のプログラムのIATが(実行される前の)静的プログラムのIATと異なる場合、これはAPIフックを意味しますか?
これらはどのように検出されますか? フックされた関数とAPIを見つける方法は何ですか? でも混乱していますが、基本的なステップバイステップの説明を提供できますか?
検出ツールで誤認を引き起こす可能性のあるアンチウイルス以外のAPIフッキングの正当な用途はありますか?
ルートキットの検出は本質的に困難です。これは、ルートキットが検出を回避する方法を採用していることが多いためです。よく書かれたルートキットは検出されないはずです。ただし、正しくコーディングされていないルートキットは、システムにアクティビティの痕跡を残す可能性があります(ログの削除に失敗するなど)。
- (すべての)プロセスに読み込まれた未署名のダイナミックリンクライブラリ
- ランダムコードチェックサム
- 一般的なマルウェア検出方法
次も参照してください: https://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-Rutkowska.pdf