村上先生の講義を聴いてて思ったんだけど、最近のルートキットの流れを見ていると「あーここまで来ちゃったの」という感じですな。こうなると生半可な方法では「検出」できないねえ。まさに昨年ブラックハットで村上先生がやったような、あらかじめOSの外でスーパーバイザー的にメモリの汚染を監視する以外方法無さそうな気もするなあ。
もちろん「検出」っていうのは、ある意味感染前提なんだよね。つまり、感染されてしまうような行動をしちゃったりするから、そういう人用には「検出」が必要になるという意味合い。感染されるような危ない行動をとらない人には検出は要らない。まあ要らないというとちょいと極端かも知れないな。必要性が低い、とでも言っておこうか。
もちろん、最近の罠は巧妙さを増してきているから、デフォで「検出」→「予防」機能を備えていればそれに越したことは無いけどね。やぱBitVisorベースのIPSはプラットフォーム的にはデフォかな（笑）。
それよりもむしろ「感染につながるリスクが高い行動」っていうところに関心があるなあ。そういうのってどういう行動なんでしょうね。ソフトウエア化できるかなあ？＞危険行動
危険行動で思い出したけど、飲み会で人の穴子天部分的にインターセプトしたのも、あれも危険行動かな（笑）。