解決済み
【至急】情報処理安全確保支援士の過去問です。 ファイルのハッシュ値を登録してマルウェア対策をする、というものなんで…
【至急】情報処理安全確保支援士の過去問です。 ファイルのハッシュ値を登録してマルウェア対策をする、というものなんですが ・ファイルのヴァージョンが変わるとハッシュ値変わる→内容が変わるからハッシュ値も変わる という認識で良いでしょうか ・ファイルのマクロとして実行されるマルウェア(エクセルに埋め込むマクロのようなもの) →ファイルのハッシュ値が変わらないので検知できない ↑ここが意味よくわかりません。 ファイルに埋め込むマクロがハッシュ値を変動させないのですか?
105閲覧
回答(3件)
- ベストアンサー
> 内容が変わるからハッシュ値も変わるという認識で良いでしょうか 合ってます。 > ファイルのハッシュ値が変わらないので検知できない > ↑ここが意味よくわかりません。 なんかよく分からない回答が付いていますが(DBの権限の話なんてまるで関係ありませんし前提云々も必要ないです)、この設問の意図はおそらく「ファイルレスマルウェアの挙動を理解しているかどうか?」だけだと思います。 ファイルレスマルウェアに悪用される最も身近な仕組みは、WindowsのPowerShellですが、実際のマルウェアとして例えば「Emotet」があります。 つまり、「Emotetはどうやってセキュリティソフトの検知を逃れているか?」を理解すると良いです。 例) https://bs-square.jp/bromium_blog/2019/05/22/post-753/ ※計3パートの記事の内の2番目の内容です。 超端的に言えば、Windowsに元々入っている仕組みを悪用し「ファイルレス」で動作するため、「ファイルのハッシュ値で検知」するのは不可能だって事です。 こういう話は、「教科書で理論上の話を読んで分かった気になる」よりは、「実際にあるマルウェアの挙動を理解する」のが一番です。
- 続きを読む
DBでは更新権限(U)と実行権限(X)は異なります。 あくまでも貴方の抜粋部分からの限りで回答するとヴァージョンのアップ(つまり更新)はハッシュ値を更新しても、マクロとして実行(つまり実行)は更新ではないのでハッシュ値を更新しないということだと思います。 ハッシュ値は改ざん等を検出するものですから、ヴァージョンが変わるとハッシュ値が変化するのは当然のこととして考えてください。
< 自分のペースで、シフト自由に働ける >
パート・アルバイト(東京都)この条件の求人をもっと見る
求人の検索結果を見る
< いつもと違うしごとも見てみませんか? >
覆面調査に関する求人(東京都)この条件の求人をもっと見る