- ベストアンサー
セキュリティポリシーにルートキットの痕跡?
先日Rootkit Revealer をダウンロードして起動したところ、 HKLM\SECURITY\Policy\Secrets という領域で2つ検出しました。 双方とも詳細は"Key name contains embedded nulls (*)"で、タイムスタンプはパソコンを使い始める前の2004/08/10になっていました。 これは、誰かがセキュリティを書き換えて見つからないよう偽装したということなのでしょうか? これらのファイルを削除する方法、また削除しても良いものなのでしょうか? また、これらのファイルの内容を確認する方法はあるのでしょうか? 現在入っているウイルス対策ソフトはウイルスバスターで、 頻繁に起動していますが、これらのファイルを検知したことはありません。 また、現在はリモートアシスタンスやリモートレジストリは切っていますが、結構長い間onの状態にありました。
- スパイウェア
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
☆Semplice:RootkitRevealerによるHKLM \Security \Policy \Secrets \SACとSAI検出 http://blog.lucanian.net/archives/50894010.html ☆Rootkit Revealer 私も使ってみたことがありますが、日本語のファイル名のものを「Rootkit」としてワンサカ検出してくれます。 勿論ほとんどが誤検出としか考えられませんし、検出されたファイルを削除する勇気もありません。 「Rootkit Revealer」は日本語環境では使えそうにないというのが私の結論です。 下記ページなど参考になるでしょうか? ☆Rootkits and Rootkit Detection http://antivirus.about.com/od/rootkits/Rootkit_Information_and_Detection.htm
その他の回答 (2)
- wamos101
- ベストアンサー率25% (221/852)
当方、アングラ突入調査や対策ソフトなどのテストをしております。 日本語環境でRootkit Revealerを使用すると「Key name contains embedded nulls」がたくさん見つかるのは既に知られていることなのです。一般ユーザーではごく一部の人間しか知らないと思います。てか、そもそも日本語環境を想定していません。 で、このソフトに関してはスキルがある人じゃないと難しいと思います。システムのコア部分に関する知識も必要とされます。
お礼
日本語環境では使えませんか…同じ作者のprocess explorerにはお世話になっているので、活用できないのは残念です。 実は一度ウイルスバスターを入れているのにクライアント化ソフトのようなものが入っていて、検出は全くされなかったことがあったので、疑心暗鬼に陥っていました。 これを機にKasperskyにでも切り替えようかと考えています。 では、ご回答ありがとうございました。
- -Navi-
- ベストアンサー率36% (17/46)
以下のWebより引用 http://www.exconn.net/Blogs/team02/archive/2005/11/02/4479.aspx 今回の検査では、次のような問題点が報告されたが、結果的には、すべて問題はなかった。 <B>Key name contains embedded nulls</B> これは、レジストリのキー名にnull(値が0コード)のが使われていることを示す。nullは、文字列の終わりの印として使われるので、キー名にnullを含ませるとレジストリのキー名を隠すことができる。そのため、ユーザやウィルス検査ソフトからキー名を見えなくして、その存在を隠すためにこの手法が使われている。 ただし、日本語のキー名を使っている場合は、日本語コードにnullが含まれるためこの「Key name contains embedded nulls」がたくさん報告されることがある。したがって報告されたレジストリが確かに日本語を使っているのであれば、これは無視して差し支えない
補足
ありがとうございます。 日本語環境ではあまり気にする必要はないという事なのでしょうか。 少し安心しました。
お礼
ログを見直したところ、上の方が当てはまりました。 と、いうことは、セキュリティ領域で2つ検出したのは、 問題ない動作ということなんですね…。 大変参考になるアドバイス、ありがとうございました。