0001それでも動く名無し
2022/12/13(火) 20:28:46.69ID:NYUqkMNA0ファイルのワイプには管理者特権が必要となるほか、そもそもワイプをするソフト(ワイパー)自体もプロセスとして認識されてしまうため、悪用することが難しい。そのためYair氏は、当初より高い権限を持ってワイプができるEDR(やAV)のツールの力を逆手にとって悪用する方法を考案した。
EDR(やAV)には、悪意のあるファイルを認識するタイミングと、それを削除するタイミングがあり、この間に何らか細工をする機会がある。これをTime-of-check to time-of-use(TOCTOU)の脆弱性だと呼ぶ。合気道ワイパーは、まさにこのTOCTOUの脆弱性を突くものだ。