6281 コード整合性: イメージのページハッシュが無効
コード整合性が、イメージファイルのページハッシュが無効と判定したときに記録される。実行中のメモリページ単位での改ざん・破損を捉える。
概要
サブカテゴリは Audit System Integrity。コード整合性が、読み込んだイメージのページ(メモリ上の小単位)のハッシュが期待値と一致しないと判定したときに生成される。ファイル全体のハッシュ不一致 5038 に対し、6281 はページ単位の不一致を示す。
発生契機・方法
- 署名検証時に、イメージの一部ページのハッシュが無効だったとき。
- ディスク破損のほか、メモリ上での実行イメージの改ざん(パッチ当て)でも発生しうる。
セキュリティ上の確認事項
- ページハッシュの不一致は、実行イメージの一部が改ざんされた可能性を示す(コードの動的パッチ、インジェクション等)。とくにドライバ・システムファイルでの発生は重大。対象ファイルを確認する。
- ファイル全体のハッシュ不一致 5038、ロード拒否 6410 と併せ、改ざんコードの実行兆候を追う。
ログレビュー時の注意観点
- ディスク破損でも発生しうる。対象ファイルが既知の正規ファイルか、破損か、改ざんかを切り分ける。
- システムファイル・ドライバでのページハッシュ不一致を高優先で確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
File Name | ページハッシュが無効と判定されたファイル |