第34回と第35回では、「Windows Sysinternals」のツールを使って自動実行の設定や通信の状況から怪しいプログラムを探す方法を紹介しました。今回はプロセスそのものを見張る方法を紹介します。
今回紹介するのはプロセスの挙動からウイルスやスパイウェアを探る方法ですが、この方法は少々難解で、非常に手間がかかります。そのため、第34回と第35回の方法でターゲットをある程度絞込み、怪しいプログラムの目星をつけてから実行することをお奨めします。
プロセスの挙動、ファイルやレジストリへのアクセスの状況を見るには、Windows Sysinternalsの中の「Process Monitor」を使います。Process Monitorを起動すると、動作しているプロセスの挙動を記録し始めます。
デフォルトの設定ではものの数秒で何百行と出力されてしまう
PCでは、システムプロセスをはじめ多数のプログラムが常に動作しており、そのまま記録を続けていくと膨大な量になってしまいます。そこで、まずはCtrl+Eを押していったん記録を停止し、Ctrl+xで記録をクリアーしましょう。次に、必要なプロセスの記録だけをとるため、Filterの設定を行ないます。
Filterの設定は、Ctrl+Lで呼び出せます。Filterの設定を開いてみると、すでにいくつか設定されている内容があります。これはProcess Monitor自身の記録などの余計な情報を取らないための設定です。その設定はそのままにし、挙動を見張りたいプロセスの設定を追加するようにしましょう。
今回は試しに、「IE-SetHomePage.exe」というプロセスの挙動を見張ってみたいと思います。このツールは擬似スパイウェアツールで、Internet Exploreのホームページを変更する動作を行ないます。Filterの条件を"Process Name" "is" "IE-SetHomePage.exe" then "Include"となるように設定し、"add"を押します。こうするとIE-SetHomePage.exeに関する動作だけが記録されるようになるので、再度Ctrl+Eを押して記録を再開します。
この状態でIE-SetHomePage.exeを実行すると、どういった動作を行なっているかが詳しくわかります。
特定のプロセスの動作だけを記録する設定
情報は時系列で上から表示され、Operationの列でどのような操作を行なっているか、Pathの列でどのファイルやレジストリがターゲットになっているかがわかります。
IE-SetHomePage.exeの挙動を追っていくと、RegSetValueという操作、つまりレジストリキーの設定を「HKCU\Software\Microsoft\Internet Explorer\Main\Start Page」に対して行なっていることがわかります。Ctrl+Pで詳細を表示すると、Dataのところに新しく設定されたホームページのアドレスを見ることができます。
Internet Exploreのホームページ書き換え動作の記録
このような方法で、怪しいと睨んだプロセスが本当に悪さをしていないか、たとえば個人のドキュメントやアドレス帳などのファイルにアクセスしていないかなどを調べることができます。
この3回で紹介した方法は、アンチウイルスソフトで検出できなかったウイルスを探すだけでなく、ウイルス以外の、たとえばP2Pソフトのようなウイルスではないけれど危険なソフトを見つけるのにも役立ちます。もちろんそのためには、P2Pソフトの名前を知っている必要がありますが。
家庭で、家族皆が共有して使っているPCで実はバックグラウンドでこっそりP2Pソフトが動かされていたというようなことがないか、今回紹介したソフトを使うことで調べることができます。企業では、業務と関係のないソフトの利用を調べるためにも使えます。
Sysinternalsには、セキュリティに役立つものだけではなく、他にもさまざまな便利なツールがあります。興味ある方は、これ以外のツールを試してみるとよいと思います。
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。