
673
第8章 ログオン認証のハッキング
8-2
レジストリ書き換えによるバックドアの実現
この項では "cmd.exe" にアクセスする処理を実行します。その際に、システム
によってはウイルス検知が反応することがあります。その際は、ウイルスとは無
関係であるため、アンチウイルスのリアルタイム保護を解除しておいてください。
単純に "cmd.exe" で "sethc.exe" を上書きすると、"sethc.exe" と "cmd.exe" の MD5
のハッシュ値が一致してしまいます(図 8-12)。つまり、何らかの不正が行われて、
"sethc.exe" と "cmd.exe"が同じファイルになっていることを示唆します。
C:¥Windows¥system32>certutil -hashfile C:¥Windows¥system32¥sethc.exe MD5
C:¥Windows¥system32>certutil -hashfile C:¥Windows¥system32¥cmd.exe MD5
図8-12 "sethc.exe"と"cmd.exe"の MD5のハッシュ値
上書きをせずにレジストリを書き換えることで、同等の攻撃を実現するには次
を実行します。
レジストリを書き換えてバックドアを設置する
Image File Execution Options機能を使うことで、あるプログラムを実行しよう
としたときに他のプログラムを実行させることができます。具体的には、レジス
トリ