ルートキットの問題が話題になる一方で,ルートキットの侵入を妨げるセキュリティ・ツールも増加している。今回は,8月最終週の段階で筆者が把握している,スタンド・アロンのルートキット検出/削除ツールを13本紹介しよう。ウイルス対策ソフトやスパイウエア対策ソフトと同じで,1つのルートキット削除ツールで,すべてのルートキットを削除するのは不可能だ。複数のツールを組み合わせるのが望ましい。
なお紹介したツールのなかで,著者は「RootkitRevealer」「F-Secure BlackLight」「Sophos Anti-Rootkit」「IceSword」を使ったことがある。いずれも著者がよく知っているベンダーのツールであり,それなりに信用できると思って使用した。
一部のツール(「GMER」「DarkSpy」「Rootkit Unhooker」)は面白そうだが,作者が誰なのか分からないし,ツールの仕組みに関する情報があまりWebサイトに掲載されていない。そのため,これらツールは一覧に入れたものの,使うかどうかは各自の判断に任せる。
・「BitDefender RootkitUncover」(ベータ版,ルーマニアSOFTWIN)
現在このツールは無料のベータ版だが,特にウイルス対策ソフト「BitDefender」の開発元であるルーマニアSOFTWIN製なので,将来が期待できる。
BitDefender RootkitUncoverの配布サイト
・「DarkSpy」(中国DarkSpy Security Group)
著者のよく知らない中国系セキュリティ研究者によるグループが開発したツール。同ツールのダウンロード・ページには「自己責任で使うこと」とあり,この忠告を受け入れる方がよいだろう。
ただし,米国のセキュリティ研究機関System Administration Networking and Security(SANS)InstituteのInternet Storm Center担当者であるHandler氏が日記で取り上げたことを知ると,少し安心するだろうか。下にある「Helios」の項目の2つ目のURLをクリックすると,Handler氏の日記が読める。
・「F-Secure BlackLight」(フィンランドF-Secure)
スタンドアロンの試用版ツールで,あらかじめ設定した日付になると使えなくなる。現在の期限は10月1日。フィンランドF-Secureの「Internet Security 2006」に搭載された標準コンポーネントでもある。
・「GMER」(詳細が不明なポーランドの個人開発者)
開発者の情報は手に入りにくいが,ツールの動作を示すスクリーンショットと映像(.wmvおよび.avi形式)がWebサイトに掲載されている。そのため,使う前にどのようなものかを調べることができる。
・「Helios」(インドMIEL e-Security)
現在はアルファ版の新しいツールだが,見込みはある。Heliosについて詳しく知るには,以下にある2つ目のURLからSANSのHandler氏の日記(7月26日付け)を読めばよい。この日記には,ツールの動作を示すスクリーンショットも掲載されている。
・「IceSword」(中国の非営利団体Xfocus Team)
IceSwordは,多くのセキュリティ管理者にとって確実に有用なツールだ。Xfocusは中国のセキュリティ研究者によるグループで,Webサイトは中国語で書かれているが,米AltaVistaの翻訳エンジン「Babel Fish Translation」(以下の2つ目のリンク)を使えば英語で読める。
翻訳エンジン「Babel Fish Translation」で英語に翻訳したサイト
・「RKDetector」(Miguel Tarasco Acuna氏)
ファイル・システム分析ツールとImport Address Table(IAT)分析ツールの2コンポーネントで構成されているツールキット。前者はファイル・システムとレジストリを,後者はメモリー空間をスキャンし,ルートキットがシステムにフックをかけることのできる変更個所を探す。どのようなツールか知るには,スクリーンショットを見るとよい。
・「RootKit Hook Analyzer」(イタリアResplendence Software Projects)
ほとんどのルートキット検出ツールがカーネル・フック,ファイル・システム,レジストリ,ユーザー・アカウントなどを検査するのに対し,このツールはカーネル・フックに特化している。
・「RootkitRevealer」(米Sysinternals)
著名なWindows専門家であるMark Russinovich氏とBryce Cogswell氏が開発したツール。
・「Rootkit Unhooker」(UG North)
UG Northがどのようなグループなのか知らないが,このツールには見込みがある。望まないプロセスとシステム・フックを調べ,こうしたプロセスを停止するのに使える。
・「Sophos Anti-Rootkit」(英Sophos)
GUIとCUIの両バージョンがあるスタンドアロンのツールで,Windows用「Sophos Anti-Virus」に組み込まれているアンチ・ルートキット技術とよく似ている。
・「System Virginity Verifier」「同FLISTER」「同KLISTER」(Joanna Rutkowska氏)
様々なルートキットの手口で改変された可能性のある,隠されたファイルと各種システム・コンポーネントの検出に特化したツール。ソース・コードが同こんされている。Rutkowska氏は著名な研究者である。
・「UnHackMe」(ロシアGreatis Software)
このリストで紹介したほかのツールがすべて無料で利用できるのに対し,このツールは有料で,1ライセンス当たり19.95ドルからとなる。どのようなツールか知るのに役立つスクリーンショットがWebサイトに掲載されているし,興味があればデモンストレーション用ソフトウエアをダウンロードできる。
