Hatena::ブログ(Diary)

葉っぱ日記 このページをアンテナに追加

2006-12-22 泣くのは、あとにして

[SECURITY] Unicodeで拡張子を偽装された実行ファイルの防御方法 Unicodeで拡張子を偽装された実行ファイルの防御方法を含むブックマーク

それ Unicode で」などで紹介されている、Unicode の U+202E (RIGHT-TO-LEFT OVERRIDE; RLO)を使って拡張子を偽装された exe ファイルの実行を抑止する方法を思いついた。

  1. メモ帳を開いて、"**"と入力する(前後の引用符は不要)。
  2. "*"と"*"の間にキャレット(カーソル)を移動させる
  3. 右クリックで「Unicode 制御文字の挿入」から「RLO Start to right-to-left override」「RLO Start of right-to-left override」を選択
  4. Ctrl-A で全て選択、Ctrl-C でクリップボードにコピー。
  5. ローカルセキュリティポリシーを開く
  6. 画面左側の「追加の規則」を右クリック
  7. 「新しいパスの規則」を選択
  8. 「パス」欄で Ctrl-V をして、メモ帳の内容を貼り付ける。
  9. セキュリティレベルが「許可しない」になっていることを確認して「適用」

以上で、this-(U+202E)txt.exe(表示は this-exe.txt) のような、拡張子が偽装されたファイルの実行を禁止できる。

参考: セキュリティ対策の要点解説 第 3 回 そもそもアレの動作を禁止したい 〜 Software Restriction Policy 〜

追記: ヤマガタさんに、「exe以外も」と指摘されたので、"*(U+202E)*.exe" だった禁止パス名を "*(U+202E)*" に変更。また、IE から http: 経由で「実行」させた場合には、一時ファイル名が使用されるため、名前による規制がうまく働かないようです([openmya:037003][openmya:037005])。その場合、IEからの直接実行を全て禁止するようにしましょう([openmya:037006])。

コメントを書く

Taiyou-nekoTaiyou-neko 2006/12/22 10:53 手順6:「ソフトウェア制限のポリシー」−「新しいポリシーの作成」を選択してない状態だと「追加の規則」は表示されないんですね。何処にあるのか探しちゃいました(;´▽`A``

ikepyonikepyon 2006/12/22 13:15 WEP推奨はクジョたいさくだけじゃなかったですorz<IPA
直してくれないかなぁ、誰となくw

初心者なので不安初心者なので不安 2006/12/27 19:17 RLO Start「to」 right-to-left overrideは、RLO Start「of」〜の事ですか?

hasegawayosukehasegawayosuke 2006/12/28 00:14 お。そうです

WinXP HomeWinXP Home 2006/12/30 23:18 の人はどうすればいいんでしょうか。。。

名無しさん名無しさん 2007/04/23 02:21 Homeはレジストリを直接いじれば可能です。下記を参考に。
http://losttechnology.jp/Tips/disallowrun.html

ななしななし 2007/04/29 15:25 XPHomeでも確認できたので

RLOをパスに含むファイルの実行禁止をXP HomeEditionで
http://d.hatena.ne.jp/marujx/20070422

通りすがり通りすがり 2007/10/09 01:24 > ローカルセキュリティポリシー

ここグループポリシー(gpedit.msc)なんだがなぁ。何で間違えるかな…

トラックバック - http://d.hatena.ne.jp/hasegawayosuke/20061222/p1
リンク元
このページでは、Google Analytics で統計情報を収集しています。
最新タイトル
最近の人気エントリ
連絡先
ブックマーク
この日記のはてなブックマーク数