Sysinternalsで見つける怪しいファイル　その3

怪しいプロセスをProcess Monitorで発見！

2012年03月26日 06時00分更新

文● 富安洋介／エフセキュア

　第34回と第35回では、「Windows Sysinternals」のツールを使って自動実行の設定や通信の状況から怪しいプログラムを探す方法を紹介しました。今回はプロセスそのものを見張る方法を紹介します。

プロセスのファイル・レジストリアクセス状況からウイルスやスパイウェアを探る

　今回紹介するのはプロセスの挙動からウイルスやスパイウェアを探る方法ですが、この方法は少々難解で、非常に手間がかかります。そのため、第34回と第35回の方法でターゲットをある程度絞込み、怪しいプログラムの目星をつけてから実行することをお奨めします。

　プロセスの挙動、ファイルやレジストリへのアクセスの状況を見るには、Windows Sysinternalsの中の「Process Monitor」を使います。Process Monitorを起動すると、動作しているプロセスの挙動を記録し始めます。

デフォルトの設定ではものの数秒で何百行と出力されてしまう

　PCでは、システムプロセスをはじめ多数のプログラムが常に動作しており、そのまま記録を続けていくと膨大な量になってしまいます。そこで、まずはCtrl+Eを押していったん記録を停止し、Ctrl+xで記録をクリアーしましょう。次に、必要なプロセスの記録だけをとるため、Filterの設定を行ないます。

　Filterの設定は、Ctrl+Lで呼び出せます。Filterの設定を開いてみると、すでにいくつか設定されている内容があります。これはProcess Monitor自身の記録などの余計な情報を取らないための設定です。その設定はそのままにし、挙動を見張りたいプロセスの設定を追加するようにしましょう。

　今回は試しに、「IE-SetHomePage.exe」というプロセスの挙動を見張ってみたいと思います。このツールは擬似スパイウェアツールで、Internet Exploreのホームページを変更する動作を行ないます。Filterの条件を"Process Name" "is" "IE-SetHomePage.exe" then "Include"となるように設定し、"add"を押します。こうするとIE-SetHomePage.exeに関する動作だけが記録されるようになるので、再度Ctrl+Eを押して記録を再開します。

　この状態でIE-SetHomePage.exeを実行すると、どういった動作を行なっているかが詳しくわかります。

特定のプロセスの動作だけを記録する設定

　情報は時系列で上から表示され、Operationの列でどのような操作を行なっているか、Pathの列でどのファイルやレジストリがターゲットになっているかがわかります。

　IE-SetHomePage.exeの挙動を追っていくと、RegSetValueという操作、つまりレジストリキーの設定を「HKCU\Software\Microsoft\Internet Explorer\Main\Start Page」に対して行なっていることがわかります。Ctrl+Pで詳細を表示すると、Dataのところに新しく設定されたホームページのアドレスを見ることができます。