ついにKaspersky 7.0のライセンス期限が切れました。セキュリティソフトは毎年買い換えているので、今年もまた買い換えの時期が到来です。
で、塚田氏お勧めのESET NOD32(もしくはSmart Security)と今まで使ってきたKaspersky Internet Securityで悩んだのですが、高いと思っていたKaspersky 2009が5,000円で買えることがわかってしまったので、今まで通りKasperskyになりました。
ただNOD32が気になるのも確かなのでノートPCに入れて、AVG -> Avastときたフリー路線から転向させようかなと企んでいます。
買ったらまた書きます。
しばらく使ってみました。まずGUIが妙に小綺麗になりました。個人的にはGUIの綺麗さなんて更々興味ないのでどうなろうと知ったことではないですが、GUIのせいで負荷が増えるってのはやめて欲しいなあと思います。
不正検出システムが、微に入り細に入る動作をするのは変わりませんが、前作より通知のウザさが軽減されているように思います。
アプリケーションの動作を「許可」する際、ルールに追加、一回だけ許可、常に許可(今後二度と質問しない)、から選べて良い感じです。若干変な動きをします(後述)が、それ以外は良好です。
あまり質問してこないモードにもできるらしいですが、このしつこさこそKasperskyって気がしてるので、あえてそのモードは使っていません。
そういえば前作はウイルスを発見すると爆音で「馬の鳴き声」が鳴りましたが、不評だったのでしょうか、音が変わっていました。
ラテールをやろうとすると、不正なドライバを入れようとしてる、って怒られます。それらを許可してやると今度は、隠しオブジェクトがあるって怒られます。
隠しオブジェクトで警告しないように設定しても、しばらくすると同じ警告が何度も出るのは勘弁して欲しいな。
以前の日記(2008年11月1日の日記参照)で書きましたが、先週くらいにラテールのプロテクトが変更されました。
起動時のスプラッシュ画面もタスクトレイのアイコンも出なくなり、だんまりな仕様に変更されたのかと思いきや、そもそもGameGuardではないようです。怪しいドライバを入れるrootkitに変わりはないんですが。
新プロテクトのメインとなるのはGPP.DLLです。このファイルはご丁寧にクレジットが入っていまして、製造元はGamepot Inc. だそうです。Gamepotがどこかに頼んで作ったのでしょうかねえ?以降はGamepotプロテクトとでも呼びましょう。
おなじみGameGuardはかなり強烈でして、プロセスの隠蔽は当然のこと、キーボードやマウスの入力も奪い、入力をエミュレートするソフト(※1)を無効化します。攻撃機能も激しくて、カーネルデバッガを動かしたり、プロセス隠蔽を解除しようとすると強制リセットをかましてきます。
一方Gamepotプロテクトはかなり穏やかです。少なくとも強制リセットだとか、全プロセスにフックなどという乱暴なことはしません。
(※1)ただしJoyToKeyは通常動作します。GameGuardのホワイトリストに入っているのでしょうか。
GameGuardはカーネル内のEPROCESS構造体(プロセスの情報を格納する構造体。双方向リンクリストで繋がっている)を変更して、プロセス一覧からゲームプロセスとGameGuardプロセスを隠していました。
その他にも複雑なことをやっていると思いますが、その辺は理解できていません。
一方GamepotプロテクトはEPROCESS構造体を変更しません。カーネルモードでEPROCESS構造体を辿るプログラムを書くと、簡単に見えます。
ラテールのプロセスIDを起動時と異なる値に書き換えてやると、タスクマネージャなどから見えてしまいます(※2)。おそらく (システムコールに渡されたPID) == (ラテールのPID) だったら弾いている?ってところでしょうか。
問題はどこで弾いているかですが、ぱっと見ではわかりませんでした。ありがちなSSDT(System Service Descriptor Table)はいじっていないようです。ntoskrnl.exeにライブパッチでも当てているのでしょうかね…。
GameGuardは重い&ウザいですが、突破は難しそうな感じでした。新プロテクトは優しいですが、私ですらなんとかなってしまいそうな弱さです。こんな程度ならいっそつけなくても良いんじゃないかなあ?
(※2)PIDを変えたまま遊ぶとサーバへの接続が切り替わる時にハングします。なぜなのかはよくわからんです。
昨日の日記でラテールの新プロテクトが甘くなったという話の後、俺でも解けそう…と偉そうなことを書きましたが、やっぱ無理。現実はそう甘くない。
そういえば一つ気づいた点がありました。昨日ちらっと言ったように、プロセス構造体を列挙する自作ドライバを作るとゲームのPIDが得られます(※)。OpenProcessで取得したPIDを開こうとすると弾かれますが、アクセス権限をPROCESS_TERMINATEに限ると開けます。
TERMINATE権限の名の通りプロセスの終了しかできません。ゲームがハングしたときの対策でしょうね、たぶん。
プロテクトの話ってネットで見かけません。あまり書くとよろしくないんだろうか?
(※)実はKaspersky先生が何かしてくれているおかげで偶然取れているだけかもしれません。素のWindows XPでやったことがないので何とも。
< | 2008 | > | ||||
<< | < | 11 | > | >> | ||
日 | 月 | 火 | 水 | 木 | 金 | 土 |
- | - | - | - | - | - | 1 |
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
30 | - | - | - | - | - | - |
合計:
本日:
管理者: Katsuhiro Suzuki(katsuhiro( a t )katsuster.net)
This is Simple Diary 1.0
Copyright(C) Katsuhiro Suzuki 2006-2023.
Powered by PHP 8.2.15.
using GD bundled (2.1.0 compatible)(png support.)