In article <3F40FE4D.43BA59AF@ht.sakura.ne.jp>
delmonta@ht.sakura.ne.jp writes:
>つまるところ、「OS の階層構造のどこに穴があるか」ですよね。
はい。

>ただ今回のように、カーネルレベルの穴の場合は、アンチウイルスソフトは無効
>です。穴がアンチウイルスソフトよりも下の階層に位置するか、あるいは同階層
>でもカーネルが問題の TCP ポートを先に占拠してしまうからです。
portの占拠にとどまらず、「アンチウィルスソフト自身がどう動いているのか
(動けていないのか)すら、アンチウィルスソフト自身でチェック出来なくなる
から」ではないでしょうか。

同階層どころか、アンチウィルスソフト自身に感染と言うか、寄生するやつ
も有りますし。そこまで行かなくても、ログクリーナやポートラッパー等で
アンチウィルスソフト無効化してから侵入する、というのが高度な(広義の)
ウィルスの一般的形態です。そもそも「アンチウィルスソフト自身が感染して
いないかどうか、どうやってチェックするの?」ということで、UNIX
用のchkrootkitなんかでは、バイナリではなくシェルスクリプト(DOSで言う
ところのバッチファイル)で書かれています。これならプログラムが書けなく
ても、読める程度の人でもチェック出来ます。
-- 
中村和志@神戸         <mailto:kaz@kobe1995.net>
NAKAMURA Kazushi@KOBE   <http://kobe1995.jp/>
- Be Free(BSD), or Die...