この記事では、技術書典 20 で無料頒布した A PART OF ANTI-VIRUS 3 - WFP 編 - の内容を公開しています。
\nPDF 版については引き続き上記リンク先の技術書典オンラインマーケットページからダウンロードできます。
\n本書の内容はすべて、公式ドキュメントやその他の Web サイトに記載の情報、もしくは一般に公開されている書籍やソースコードなどの情報を元に作成しています。技術的な内容について言及する場合は、可能な限り出典を注釈に明記します。また、本書に記載の内容は全て筆者自身の見解であり、所属する企業や組織を代表するものではありません。
\n本書をお手に取っていただき誠にありがとうございます。かしわば(@kash1064) と申します。
\n私は主にリバースエンジニアリングやフォレンジックの技術領域に関心を持っており、\n最近はもっぱら、子育ての傍らでさまざまなアプリケーションのソースコードや技術書を読む生活をしています。
\nまた、本業はセキュリティ製品ベンダーのテクニカルサポートエンジニアで、\nこれまでに 2 社にて Windows や Linux 用のアンチマルウェア製品のトラブルシューティングやデバッグを行ってきました。
\n本書では、これまでに頒布してきた「A part of Anti-Virus」シリーズ 1 2 に続き、Windows Filtering Platform (WFP) の概要と、Antivirus や Endpoint Detection and Response (EDR) を含む様々なセキュリティ製品などに利用される WFP コールアウトドライバーについて解説します。
\n詳しくは 1 章で解説しますが、WFP は Windows Vista および Windows Server 2008 以降で\nネットワークフィルタリングアプリケーションを作成するためのプラットフォームを提供する一連の API とシステムサービスです。3
\nWFP を使用することで、開発者やアプリケーションベンダーは Windows にファイアウォールや侵入検知システム (IDS/IPS)、\nまた Antivirus による通信の検査およびブロック機能やその他のネットワーク監視ツールなど、様々なソフトウェアを実装できます。
\n例えば、Windows に既定で搭載されている Microsoft Defender ファイアウォール(旧称: Windows Defender Firewall)も、\nこの WFP の仕組みを利用して様々な条件に基づく通信のフィルタリングを実現しています。4
\n本書では、なぜセキュリティにおいてエンドポイント型のネットワークフィルタリングが必要とされているのか、\nまた Antivirus や EDR が WFP のどのような機能を利用して端末の保護を行っているのかについて、一般に公開されている情報を元に可能な限り詳細に解説します。
\nまた、本書を通して多くのユーザーがエンドポイントにおけるネットワークセキュリティや、\nAntivirus による WFP の利用について理解を深める一助となることを目指します。
\n本書では、エンドポイントのネットワークセキュリティ対策に利用される\nWFP の概要や Antivirus の機能について理解を深めることを目的として、\n各章で以下の内容について解説します。
\n本書では、WFP の基本概念から順に解説していますが、以下の知識があると理解しやすくなります。
\n本書では、WFP を使用したサンプルプログラムをビルドし、仮想マシンで実行することで動作確認を行います。
\n本書の構成上、環境構築の詳細手順は割愛します。\nここでは、実際に動作確認を行いたい読者のために使用する主要なツールや環境について簡単に記載しておきます。
\n本書では、Hyper-V で構築した Windows 10 22H2 の仮想マシンを利用します。
\nこの仮想マシンでは、以下のコマンドでテスト署名モードとカーネルデバッグを有効化します(管理者権限で実行し、実行後は再起動が必要です)。\nSecure Boot や BitLocker の構成によっては設定変更できない場合がある点に注意してください。\nこれらの設定は検証用であり、本番運用端末では有効化しないでください。
\nbcdedit /set testsigning on\nbcdedit /debug onまた、リモートマシンからカーネルデバッグを行うため、kdnet.exe を使用してネットワーク経由のカーネルデバッグ設定を登録します。
なお、本書で使用する仮想マシンのセットアップに使用した手順については、\n無料頒布している前著「A part of Anti-Virus」の 1 章で紹介した手順とほぼ同一ですので、\nこちらも併せてお読みいただくことをおすすめします。
\n続いて、本書で使用するプログラムやサンプルコードのビルドのため Visual Studio 2022 Community を使用します。
\n本書の執筆時点では、WDK は Visual Studio 2022 でのドライバー開発を前提としており、Visual Studio 2026 との互換性は未保証です。\nそのため、本書では Visual Studio 2022 を使用します。5
\nなお、公式のダウンロードサイトからは現在のところ Visual Studio 2022 Community をダウンロードできません。
\nそこで、https://aka.ms/vs/17/release/vs_community.exe から直接インストーラをダウンロードしています。
\n本書で使用するツールのうち、主要なツールを以下に記載します。
\nこれらのツールは、仮想マシンにインストールし、カーネルドライバーのインストールや動作確認、\nまた WFP フィルターの登録状況などを確認するために使用します。
\nhttps://github.com/zodiacon/AllTools/blob/master/WFPExp.exe
\nhttps://www.osronline.com/article.cfm%5Earticle=157.htm
\nhttps://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite
\n本書の執筆にあたり CTF チーム 0nePadding のメンバーに多大なるご協力を賜りました。
\n校正に協力いただいた 0nePadding のメンバーである @salty_byte 氏、@rikoteki 氏に深く感謝申し上げます。
\nA part of Anti-Virus https://techbookfest.org/product/iFrVq6PX0PPJhivrGzhi32
\n↩\nA part of Anti-Virus 2 https://techbookfest.org/product/8RXYbx8JnsHZeFNHGRmMJU
\n↩\nWindows Filtering Platform https://learn.microsoft.com/ja-jp/windows/win32/fwp/windows-filtering-platform-start-page
\n↩\nWindows Filtering Platform https://learn.microsoft.com/windows/win32/fwp/windows-filtering-platform-start-page
\n↩\nDownload the Windows Driver Kit (WDK) https://learn.microsoft.com/ja-jp/windows-hardware/drivers/download-the-wdk
\n↩\n