全2746文字
PR

 パソコンでは、実行されたプログラムはプロセスという単位で管理される。プログラムを実行するとメモリーに読み込まれプロセスとして動作する。

 プロセスはOSによって管理されるので、Windowsのタスクマネージャーなどのツールを使って確認できる。ツールでプロセスを表示させれば、マルウエアのような不正なプログラムが動作していないかを調べられる。

 そこで攻撃者は、セキュリティーソフトや研究者からマルウエアの存在を隠すために、そのプロセスを隠蔽しようとする(図1)。例えば、マルウエアのプロセスを正規アプリケーションのプロセスに見せかけたり、マルウエアのプロセスを表示させないようにしたりする。今回はそうしたプロセスの隠蔽テクニックを紹介しよう。

図1●プロセスを隠蔽して検知を免れる
図1●プロセスを隠蔽して検知を免れる
マルウエアの常とう手段の1つがプロセスの隠蔽。正規アプリケーションのプロセスに見せかけて検知を免れる。プロセスハロウィングやDLLインジェクションといった手法を使う。
[画像のクリックで拡大表示]