Windows OS で「ファイル ハニーポット」のようなものを作成したいと考えています。
私が答えたい問題は次のとおりです。ファイルがアクセスされていることを検出する必要があります (マルウェアはファイルを読み取ってインターネット経由で送信しようとしています)。しかし、私はこのことにどのように正確に取り組むかわかりません。
定期的にファイルをテストできます - このソリューションは好きではありません。数ミリ秒ごとにプロセッサを煩わす必要のないイベント駆動が必要です。ただし、ファイルが十分に大きい場合は機能する可能性があるため、チェック間で読み取ることができません。
私は自分でファイルを排他的に開き、ファイルがアクセスされているかどうかを何らかの方法で検出できました。しかし、私はこれを行う方法がわかりません。
この問題を効果的に解決する方法について何か考えはありますか? 特殊なドライバーを作成すると役立つかもしれませんが、これについてはほとんど経験がありません。
ありがとう
あなたが書いているのは比較的単純なハニーポットだと思います。実行しているシステムの整合性は損なわれておらず、マルウェアによるルートキットやフィルター ドライバーのインストールはなく、回避または回避対策を実装できるプロセスは実行されていません。
私が考えることができる最も可能性の高いシナリオは、コンピューター上で実行されているサーバー プロセスが、機密データを含むファイルをリモートで読み取れるようにする何らかの外部制御の対象になっているというものです。Web サーバー、メール サーバー、FTP サーバーなどの可能性がありますが、コンピューター上で他に侵害されたものは何もないと思います。そして、当面のタスクは、特定のファイルを監視し、何かがそれらを読み取っているかどうかを確認することです。
これらの仮定では、ファイル システム ウォッチャーは役に立ちません。システムの一部を監視して、新しいファイルの作成や既存のファイルの変更または削除を監視できますが、私の知る限り、読み取り専用アクセスを監視することはできません。
私が認識している唯一のイベント ドリブン メカニズムは、フィルター ドライバーです。これは、ドライバー チェーンに挿入してファイルへのアクセスを監視できる特殊なドライバー ソフトウェアです。上記の制約により、これは問題に対する信頼できる解決策ですが、書くのは非常に困難です。
ポーリング メカニズムで十分な場合は、2 つの方法があります。1 つはファイルを排他的にロックしようとするもので、開いている場合は失敗します。これは簡単ですが、遅いです。
もう 1 つは、開いているファイル ハンドルを監視することです。私はそれを行うプログラムを知っているので、それが可能であることは知っていますが、いくつかの調査なしにその方法を説明することはできません.
私の仮定が間違っている場合は、質問を編集して追加情報を提供してください。