[port139ml:02697] Re: syunlog version 0.4

[syun <syun@xxxxxxx>]

syun です。
 
> > 実は昨日のワームさわぎで、syunlogにワーム捕獲機能をつけようと
> > 思いました。シグネチャをsyunlogGUIでプチプチと定義すると、
> > それに引っかかったものだけファイルに落ちるという感じ。
> 
> 指定したパケット(通信？ストリーム？)だけ任意のファイルへ
> 出力する、というイメージでしょか？

条件に引っかかったストリームだけをファイルに出力するという事に
なります。

条件は、プロトコル種別や宛先ポート番号、データの中のパターン
(まずはテキストのパターン)などの項目を、GUIでプチプチ設定して
おくという感じです。

条件を沢山つければつけるほど誤検出は減りますが、捕獲しようと
しているワームに関する知識が必要になります。

たとえば、CodeRedII系の場合だったら、TCP、宛先ポート80、
テキストパターン「XXXXXXXXXXXXXXXXXXXXX」で引っかけるだけで、
あまり間違わないでしょう。

フラグメントしてるパケットに対する処理とかメンドクサイ処理が
ありますが、それ以外は簡単です（シグネチャエディタを作るのも
ちょっと大変か）。

自分で簡単に定義して試して遊べるところを目指したいと思います。

> > > > ☆制限事項
> > > > ・無線LANのインターフェースがNIC一覧で取れない
> > > 
> > > 手元の Windows 2000 Pro では取れていません。
> > > 某 Y 氏の XP では Ethereal からみえていたようですので、W2K
> > > だと駄目？とか思ってましたが....
> > 
> > おお！
> > Etherealのソースを見て調べてみます。
> 
> XP は OS が無線LAN をサポートしてますのでその違いかな？
> と思ってるんですがどなんでしょ？
> # 手元の Windows 2000 は Ethereal から無線LAN カードが
> # 見えてません。Y 氏と同じカードなんですけど...

色々と難しそうですね :(
Windows Worldの奥深くを知らないワタシには対処できないかな。