第34回と第35回では、「Windows Sysinternals」のツールを使って自動実行の設定や通信の状況から怪しいプログラムを探す方法を紹介しました。今回はプロセスそのものを見張る方法を紹介します。
プロセスのファイル・レジストリアクセス状況からウイルスやスパイウェアを探る
今回紹介するのはプロセスの挙動からウイルスやスパイウェアを探る方法ですが、この方法は少々難解で、非常に手間がかかります。そのため、第34回と第35回の方法でターゲットをある程度絞込み、怪しいプログラムの目星をつけてから実行することをお奨めします。
プロセスの挙動、ファイルやレジストリへのアクセスの状況を見るには、Windows Sysinternalsの中の「Process Monitor」を使います。Process Monitorを起動すると、動作しているプロセスの挙動を記録し始めます。
PCでは、システムプロセスをはじめ多数のプログラムが常に動作しており、そのまま記録を続けていくと膨大な量になってしまいます。そこで、まずはCtrl+Eを押していったん記録を停止し、Ctrl+xで記録をクリアーしましょう。次に、必要なプロセスの記録だけをとるため、Filterの設定を行ないます。
Filterの設定は、Ctrl+Lで呼び出せます。Filterの設定を開いてみると、すでにいくつか設定されている内容があります。これはProcess Monitor自身の記録などの余計な情報を取らないための設定です。その設定はそのままにし、挙動を見張りたいプロセスの設定を追加するようにしましょう。
今回は試しに、「IE-SetHomePage.exe」というプロセスの挙動を見張ってみたいと思います。このツールは擬似スパイウェアツールで、Internet Exploreのホームページを変更する動作を行ないます。Filterの条件を"Process Name" "is" "IE-SetHomePage.exe" then "Include"となるように設定し、"add"を押します。こうするとIE-SetHomePage.exeに関する動作だけが記録されるようになるので、再度Ctrl+Eを押して記録を再開します。
この状態でIE-SetHomePage.exeを実行すると、どういった動作を行なっているかが詳しくわかります。
情報は時系列で上から表示され、Operationの列でどのような操作を行なっているか、Pathの列でどのファイルやレジストリがターゲットになっているかがわかります。
IE-SetHomePage.exeの挙動を追っていくと、RegSetValueという操作、つまりレジストリキーの設定を「HKCU\Software\Microsoft\Internet Explorer\Main\Start Page」に対して行なっていることがわかります。Ctrl+Pで詳細を表示すると、Dataのところに新しく設定されたホームページのアドレスを見ることができます。
このような方法で、怪しいと睨んだプロセスが本当に悪さをしていないか、たとえば個人のドキュメントやアドレス帳などのファイルにアクセスしていないかなどを調べることができます。
ウイルスやスパイウェアだけでなく、P2Pソフトなどの発見にも
この3回で紹介した方法は、アンチウイルスソフトで検出できなかったウイルスを探すだけでなく、ウイルス以外の、たとえばP2Pソフトのようなウイルスではないけれど危険なソフトを見つけるのにも役立ちます。もちろんそのためには、P2Pソフトの名前を知っている必要がありますが。
家庭で、家族皆が共有して使っているPCで実はバックグラウンドでこっそりP2Pソフトが動かされていたというようなことがないか、今回紹介したソフトを使うことで調べることができます。企業では、業務と関係のないソフトの利用を調べるためにも使えます。
Sysinternalsには、セキュリティに役立つものだけではなく、他にもさまざまな便利なツールがあります。興味ある方は、これ以外のツールを試してみるとよいと思います。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。

この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ