このページの本文へ

週刊セキュリティレポート ― 第36回

Sysinternalsで見つける怪しいファイル その3

怪しいプロセスをProcess Monitorで発見!

2012年03月26日 06時00分更新

文● 富安洋介/エフセキュア

  • この記事をはてなブックマークに追加
  • 本文印刷

 第34回第35回では、「Windows Sysinternals」のツールを使って自動実行の設定や通信の状況から怪しいプログラムを探す方法を紹介しました。今回はプロセスそのものを見張る方法を紹介します。

プロセスのファイル・レジストリアクセス状況からウイルスやスパイウェアを探る

 今回紹介するのはプロセスの挙動からウイルスやスパイウェアを探る方法ですが、この方法は少々難解で、非常に手間がかかります。そのため、第34回第35回の方法でターゲットをある程度絞込み、怪しいプログラムの目星をつけてから実行することをお奨めします。

 プロセスの挙動、ファイルやレジストリへのアクセスの状況を見るには、Windows Sysinternalsの中の「Process Monitor」を使います。Process Monitorを起動すると、動作しているプロセスの挙動を記録し始めます。

デフォルトの設定ではものの数秒で何百行と出力されてしまう

 PCでは、システムプロセスをはじめ多数のプログラムが常に動作しており、そのまま記録を続けていくと膨大な量になってしまいます。そこで、まずはCtrl+Eを押していったん記録を停止し、Ctrl+xで記録をクリアーしましょう。次に、必要なプロセスの記録だけをとるため、Filterの設定を行ないます。

 Filterの設定は、Ctrl+Lで呼び出せます。Filterの設定を開いてみると、すでにいくつか設定されている内容があります。これはProcess Monitor自身の記録などの余計な情報を取らないための設定です。その設定はそのままにし、挙動を見張りたいプロセスの設定を追加するようにしましょう。

 今回は試しに、「IE-SetHomePage.exe」というプロセスの挙動を見張ってみたいと思います。このツールは擬似スパイウェアツールで、Internet Exploreのホームページを変更する動作を行ないます。Filterの条件を"Process Name" "is" "IE-SetHomePage.exe" then "Include"となるように設定し、"add"を押します。こうするとIE-SetHomePage.exeに関する動作だけが記録されるようになるので、再度Ctrl+Eを押して記録を再開します。

 この状態でIE-SetHomePage.exeを実行すると、どういった動作を行なっているかが詳しくわかります。

特定のプロセスの動作だけを記録する設定

 情報は時系列で上から表示され、Operationの列でどのような操作を行なっているか、Pathの列でどのファイルやレジストリがターゲットになっているかがわかります。

 IE-SetHomePage.exeの挙動を追っていくと、RegSetValueという操作、つまりレジストリキーの設定を「HKCU\Software\Microsoft\Internet Explorer\Main\Start Page」に対して行なっていることがわかります。Ctrl+Pで詳細を表示すると、Dataのところに新しく設定されたホームページのアドレスを見ることができます。

Internet Exploreのホームページ書き換え動作の記録

 このような方法で、怪しいと睨んだプロセスが本当に悪さをしていないか、たとえば個人のドキュメントやアドレス帳などのファイルにアクセスしていないかなどを調べることができます。

ウイルスやスパイウェアだけでなく、P2Pソフトなどの発見にも

 この3回で紹介した方法は、アンチウイルスソフトで検出できなかったウイルスを探すだけでなく、ウイルス以外の、たとえばP2Pソフトのようなウイルスではないけれど危険なソフトを見つけるのにも役立ちます。もちろんそのためには、P2Pソフトの名前を知っている必要がありますが。

 家庭で、家族皆が共有して使っているPCで実はバックグラウンドでこっそりP2Pソフトが動かされていたというようなことがないか、今回紹介したソフトを使うことで調べることができます。企業では、業務と関係のないソフトの利用を調べるためにも使えます。

 Sysinternalsには、セキュリティに役立つものだけではなく、他にもさまざまな便利なツールがあります。興味ある方は、これ以外のツールを試してみるとよいと思います。

筆者紹介:富安洋介

エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。


カテゴリートップへ

この連載の記事
ピックアップ