コレは吹いた
http://journal.mycom.co.jp/column/itsecurity/023/index.html
アツイ。非常にアツイ。
ページファイル、すなわち物理メモリにマップしきれなくなったデータをHDD上に
払い出す(スワップ)際に作成されるファイルを上手に利用することがこの
「ページファイルアタック」の原理である。理解のためにページファイルアタックの
手順を簡単に整理すると以下のようになる。1. (VirtualAlloc( )APIを使用するなどして)特定のプロセスに対し大量のメモリを割り当てる
2. その結果、システムはスワップを実行し、最終的に使用されていないドライバのコードもページファイルとして払い出される
3. ページファイルとして払い出されたドライバのコードを書き換える
4. ページファイルを物理メモリに復帰させてコードを実行させ、最終的に未署名のドライバを読み込ませる
というか
いや最低限そんぐらい最初からやっとけよ。
一方、Microsoftはこのような事態を受けてか、Vista RC2以降ではユーザーモードで動作する
アプリケーションから、ハードディスクの低レベルセクタへの書き込みアクセスを遮断するような
変更が行われている。
その上でこんな突っ込み食らってるし(笑
Rutkowska女史は「ディスクエディタのようなアプリケーションは動作不全を引き起こすだろうし、
そもそも根本的解決策ではない」と自身のBlogで指摘している。
試した人も半信半疑だったろうなぁ・・・。
まさかソレぐらい潰してるだろう、と思うよなぁ・・。
手段はともあれ。
そもそもカーネルドライバのバイナリすら画一的にスワップアウトされるような動作が問題だよなぁ。