[port139ml:02665] Re: 255文字対応製品

[Miharu <ensi@xxxxxxxxxxxxxxxx>]

瞠です。


とりあえず今回検出させてるものは
http://ntsecurity.nu/toolbox/klogger/
と宣言してみる。



> ストリーム内にコードがあった時って検出できるんですかね?

先ほどメールを送る前もさらっと試したのですが、
Norton AntiVirus 2003 ではいわゆるストリーム内のコードは、
実行時においても検出できていません。

ファイル名
tako.txt:klogger.exe

通常klogger.exeはマウスでファイルを選択したり、
実行したりすると検出するバイナリです。


設定を変えたり、それ以外のものでも全てこれが適用されるのかは、
分かりかねます。
#私のテストに問題があったらアレですけど。。。



> 後上記のように拡張子無視して実行されることも確認してます。

だからNorto AntiVirus 2003 の場合は何にしてもだめだめなようです。



更にテストしていて分からなくなってしまったのですが、
　ファイル名 ＋ ストリーム名
ストリーム名の方にkloggerを埋め込んで、実行しようとすると、
ファイル名やストリーム名の長さ(ファイル名の全体長さ)によって、
メモリの使用量が次のように変化する感じです。
(タスクマネージャのプロセスタブでの確認)

ファイル名の全体長が長いほどメモリの使用量が減少し、
 (ここで長いというのはあくまで 240文字 + 5文字 とか) 
代替ストリームのkloggerが実行されていても、
klogger自体が機能しなくなってしまいました。

そもそも klogger 自体のファイル名を255文字にすると実行できない。
#というか私のテストに問題があるのかなぁ。。。(汗
#もしや当たり前の話だったら恥ずかしい。