超簡単!phishing詐欺(9)

次に、nProtectが起動している状態でIEをhookできるかを調べていこう。


Microsoft WDMプログラミング―WindowsXP対応 (Microsoft Programming Series)

結論から言えば、以前の(リネージュ2とかで採用されていた)バージョンのnProtectならば、それは可能だった。それというのも、nProtectがネットワークdllのhookを監視していなかったからだ。



今回UFJ銀行が採用したnProtectでは、その監視処理が追加されている。要するに、iehookの方法ではhookできない。




WindowsXPフィルタドライバプログラミング 入門と実践


もう少し具体的に言うと、今回のnProtectは、自前のドライバをインストールするのだが、これは、典型的なhook対策で、自前のドライバを用いて、ws2_32.dllより低いレベルで(=カーネルレベルで)ネットワーク機能にアクセスしている。ソフトウェアによるfirewallなどは普通はこの仕組みにより実現する。


この手のドライバは、「フィルタドライバ」と呼ばれる。参考となりそうな書籍を2冊挙げておくので興味のある人は手にとってご覧いただきたい。(つづく)