金, 2008/11/28 - 00:22 — kazamiya
アンチフォレンジック機能を持つボットの出現
http://www.lac.co.jp/info/rrics_report/pdf/20081127_cslreport.pdf
ラック コンピュータセキュリティ研究所からのレポートです。あるボットでシステム時刻を意図的に変更する挙動が観測されたとのことです。確かに調査ではログ内の時間やファイルのMACtimeをはじめ時間は非常に重要な情報となるため、変更されるとかなり辛くなります。
今回観測されたボットでは時間を1980年1月1日に変更するようです。
対策としてメモリダンプを挙げている点も目新しいです。国内にもメモリフォレンジックの必要性が少しは浸透するかもしれません。
