【無料】Microsoft Defender Part10 (694レス)
1-

347: 2023/11/15(水)17:04 AAS
うそ
サーバーと接続を確立しているだけの状態ではC&Cボット側はまだコントロールされませんよ
その後にサーバー側からのコントロールパケットを受信した時点でDefenderファイアーウォールだったとしてもアラートを表示して反応します
TCPネットワーク接続の基本から勉強し直してね
わからなければ先ずは仮にダミーのサーバーでも立ててtからLAN内同士での通信でファイアーウォールがどのように反応するかを調べるべきですよね
その上で反論して下さいな
348: 2023/11/15(水)20:16 AAS
Defender Firewallにそんな穴が存在していたらセキュリティに詳し連中から集中バッシングを受けますよ
マイクロソフトがその仕様で何の問題もないと思っているのにはきちんとした背景があるからですね
セキュリティに詳しくない連中が騒いでいるだけだと私は思っています
349
(2): 2023/11/16(木)06:57 AAS
なんで皆そんなに自信満々に断言できるんだ・・・
クライアント側からの接続はコネクトバックとかリバースシェルとか呼んでるよ。
外部リンク[html]:e-words.jp

一般的なクラサバ通信って教科書的には皆が書いてくれてる通りなんだけと、色んな方法で実現できるよ。
例えばHTTPでは、ServerPushの仕様が策定されるまではCometっていうテクニックを使って疑似サーバ発信を実現してたよ。

あと多分根本的な勘違いしてると思うんだけどDefender Firewallって所詮ちょっと高機能なファイアウォールだよ。有償じゃないと有効化できないDefender for Endpointなら挙動見て不審な動きも検出できるよ(EDRって呼ばれる分類の製品だよ)
350: 2023/11/16(木)10:40 AAS
新しい受信許可って意味でどうするんだ?とFirewallがアラートを表示するってだけだと思うよ
それだけで何かに感染しているのをユーザー側は検知出来る
ユーザー側が通信許可をしてしまった後の事は、Firewal側lではもうスルーしてしまいますよ
バカじゃねーの
351: 2023/11/16(木)11:19 AAS
これと同様な事は自宅サーバーのDLNA対応デバイスでもシミュレートが可能じゃないでしょうか?
既に接続は確立していてもDLNA対応デバイスからの初期要求アクセスがあった場合には、
ファイアーウォール側が受信要求のアラートを表示します
352: 2023/11/16(木)16:15 AAS
なんで浅い知識なのにそんなに強い言葉で相手ディスれるんだ、社会性ヤバイぞ
353: 2023/11/16(木)18:24 AAS
>>349
そこの内容はファイアーウォール側で一旦C&Cボット側への受信設定に許可を与えてしまった後の動作だと思うよ
シミュレートしてそんな穴があると立証出来たらまた書き込んで下さい
354: 2023/11/16(木)18:43 AAS
>>349
最近の流行から学ぶセキュリティ対策「標的型攻撃」
外部リンク:thinkit.co.jp

●設問2 に書かれている内容をよく見て考えましょう
ここには通信内容のパケットを基にフィルタリングする方法が書かれています
これは既にC&Cボットプロセスへの受信パケットにファイアーウォールが反応してアラートを表示したものへと
許可設定をしてしまった後の判断となります
誰がそんな事を書きましたか?
飽くまでもこのアラート表示で何かに感染していないか?とユーザー側が気付けると書いているのですよ
355: 2023/11/16(木)19:02 AAS
netstat -bfo でも監視していればBOTプロセスは発見出来るし、
もっといい方法だとCurrPortsで監視すればBOTプロセスの通信判別が出来ます
つまりあなた方の要求する内容はここまでやりなさいよって事なんでしょうよね
私はDefenfer Firewallだけでも問題がないと思いますよ
要は早急に感染したのに気付けるかって事だよ
356: 2023/11/16(木)19:38 AAS
ある意味でC&CボットはC&Cサーバー側と通信状態を確立してしまったら、その後はサーバーとしての要素も持ち合わせていて、
外部からコントロール出来ると言いたいのだろうよ?
前の方に書かれているとおりに自分でシミュレートしてみなよ
ちゃんとDefender Firewallは初回アクセス時に受信許可側のアラートを表示しますよ
357: 01/11(木)18:37 AAS
そういう情報がほしかったのでありがとうございます
358: 02/03(土)16:41 AAS
投げっぱなしジャーマン決まったwwwウマすぎるwwwはいこれでペイねwwww
359: 02/11(日)19:32 AAS
>>273 でっす。Windows11Pro 23H2でWindows PEからバッチを使って保護の履歴を消せたのでその報告です

※Windows PEからだとシステムドライブが必ずしもC:\ではない事に注意
システムによると思うのですけどSATAとNVMeが同居してる場合、PEはSATAを優先する感じ(Diskpartの優先順位も同じく)
ウチのあるPCの場合、通常は C: NVMe(システム) D: SATA(データ) なのですけどPE(X:)からだと C: SATA D: NVMe に
なのでウチの場合はシステムドライブのルートにバッチを置いたとして

1) Shft + 再起動 → トラブルシューティング → コマンドプロンプトでWindows PEを起動

2) X:\ CD /D d:\(エンターキーを押す)

3) D:\ ClearScanHistory.bat(エンターキーを押す)
省9
360: 02/21(水)04:48 AAS
>なのでウチの場合はシステムドライブのルートにバッチを置いたとして

だから対処方法として、cd /d %~dp0 としろって言っているだろうよ
常駐している癖に、どこを見ているんだかな
361: 03/02(土)15:08 AAS
Microsoft Safety ScannerかけたらTrojan:O97M/PikaBot.PRY!MTBが検出され、除去された(Removed)。
毎週末Microsoft Safety Scannerでフルスキャンしているので先週までなかったことは間違いない。
362
(1): 03/02(土)17:01 AAS
定義ファイルによって後からマルウェア認定を受けることがあるから
ファイルが存在しなかったとは言えない
363: 03/02(土)17:34 AAS
>>362
なるほど
つまり定義ファイルに載る前に入られたということですね
ではみなさん同じように入られてる危険があるわけですが、Trojan:O97M/PikaBot.PRY!MTBは検出されてないですか?
364: 03/19(火)05:27 AAS
これはひどい
外部リンク:newsdig.tbs.co.jp
365
(1): 03/19(火)05:37 AAS
Microsoftサポートを騙る「偽のセキュリティ警告画面」ってどうやって閉じればいいの? - PC Watch
外部リンク[html]:pc.watch.impress.co.jp
366: 03/21(木)17:42 AAS
ふうむ
1-
あと 328 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル

ぬこの手 ぬこTOP 0.007s