藤若亜子
@akof
アンチウイルスソフト技術に関する素朴な疑問:例えば自己解凍形式の解凍機能にバッファオーバーフローがあり、解凍中にバッファオーバーフローして権限昇格・悪意ある動作するようなのは発見できるのだろうか?
2010-02-15 22:11:10
ると
@cocoa_ruto
@akof バッファオーバーフロー自体を検出できなくても、既知のマルウェアはパターンで検出できるはずです。また、未知のものでも脆弱性を利用して実行するコードの部分(権限を昇格させたり、悪意のあることをする部分)や、バッファをオーバーフローさせるコードを検出できる可能性があります。
2010-02-15 22:20:41
ると
@cocoa_ruto
@akof その辺は難しいですね。暗号化された部分を展開して実行するコードでひっかけるとか、サンドボックスで実行するなどでしょうね。
2010-02-15 22:28:20
ると
@cocoa_ruto
@akof また、プログラムを解析してバッファオーバーフローを検出するソフトもあります。例: http://www.aicp.co.jp/products/codesonar.shtml
2010-02-15 22:23:14
藤若亜子
@akof
@cocoa_ruto 「プログラムを解析してバッファオーバーフローを検出するソフト」の存在は知ってますが、バイナリだけで検出してくれるわけではないですよね?
2010-02-15 22:25:45
ると
@cocoa_ruto
@akof バイナリを解析できるものは知らないのですが、原理的にはできるはずです(もちろん、ソースからでもバイナリからでも完全には検出できないのですが)。一般のアンチウィルスソフトはそこまではやってないと思います。
2010-02-15 22:33:24