昨日はrootkitの隠蔽工作について聞いたんだけど、「知識」のrootkit本の作者によるプレゼンはけっこうおもしろかったなあ。Translation Lookaside Bufferを使った隠蔽とかいう話ですが、いやもーよく考えるなあというのがありますねえ（にがわら）。
でも、いったんディスクに何かを書き込むってことは、ディスク（またはそのイメージ）を調査されたらバレちゃう可能性はあるんだよね。っていうかフォレンジックス的調査手法が一般化されてきたら、いくら高度な隠蔽工作であってもなかなか隠蔽しきれるものではないし。っていうかかえって高度な隠蔽工作になればなるほど、知識を持っている人が居る可能性が高いとも言えるし、ふつうあり得ないようなところに痕跡やらファイルそのものやらがある可能性が高いとも言えるので、特異点となりやすいのではないかなあ？
っていうかそもそも、rootkit的な隠蔽工作ってのは技術的興味以外に高度化する、探求する意味があるんだろうか？どんなに高度であってもフォレンジックスやられたらバレる可能性が高いわけだし、フォレンジックスを援用できない（そもそも知らない、などの理由によって）管理者にとっては、別にそんなに高度でなくても十分用に足るのではないのかな（笑）？