Process Explorerによるプロセスの動作状況チェック
プロセスの動作状況をチェックするには、「Process Explorer」の利用が便利です。
これは、インシデントの発生有無に関わらずインストールをしておいて損はないツールと言えるでしょう。
Process Explorerの実行
Process Explorerは、以下のURLからダウンロードすることができます。
- ツール名:Process Explorer
- 使用目的:プロセスの動作状況のチェック
- 入手方法:https://download.sysinternals.com/files/ProcessExplorer.zip
ダウンロード後にZIPファイルを解凍することで利用準備が整います。
環境にあった実行ファイルを実行することでプログラムが実行されます。
不正プロセスの問い合わせ
このツールで便利な機能の一つとして、各プロセスに対してVirusTotalで不正プロセスなのかどうか問い合わせることができることがあります。
既知のマルウェアであれば、不正プロセスを一目瞭然に特定することができるのです。
VirusTotalへの問い合わせは、プロセスを右クリックして表示される「Check VirusTotal」メニューを選択するだけでおこなうことができます。
ブラウザを経由してVirusTotalへ問い合わせが行われ、結果が表示されます。
「View」から「Select Columns」を選択すると、より多くの情報を参照することができます。
「Image Path」のカラムを追加することで、どのフォルダーに各プロセスの実体が設置されているかの確認ができます。
Process Hackerによるプロセスの動作状況チェック
「Process Hacker」は、前述したProcess Explorerとタスクマネージャーの機能をあわせ持ったツールです。
インストーラ型・バイナリ(ポータブル)型・ソースコードがありますが、インシデント対応などでの利用を想定するならば、ポータブル型が使い勝手が良いでしょう。
- ツール名:Process Hacker
- 使用目的:プロセスの動作状況のチェック
- 入手方法:http://Process Hacker.sourceforge.net/downloads.php
ダウンロード後、ZIPファイルを適当なフォルダーに解凍することで利用準備が整います。
プロセス情報の選択と収集
環境に合った「Process Hacker.exe」を実行すると、実行画面が表示されます。
このツールでは、プロセスとサービス、ネットワーク、ディスクに関する情報を得ることができます。
標準の画面では情報が少ないので、必要な情報の項目を増やしましょう。
表示項目を右クリックすると、「Choose columns」が選択可能になります。
ここで必要な情報を選択します。
ここでは、プロセスの実行時刻が把握するための「Start time」や実行プロセスのパスを知ることができる「Command line」などを選択することにしましょう。
調査をしたいプロセスを選択して「Enter」キーを押すことで、該当プロセスのプロパティが表示され、詳細情報を閲覧することができます。
「Ctrl」+「Enter」キーで該当プログラムのフォルダーを開くことができるので、調査対象プログラムの抽出が簡単である事もProcess Hackerの特徴です。
マルウェアの動作でしばしば見られる特徴
- 親プロセスが「exe」であれば、OSのシステム操作が可能な権限において実行されていることがわかります。
- 「Current directory」がTemp(一時フォルダ)であれば、一時的に実行されているプログラムであることがわかります。
これらがみられる場合にはマルウェアの可能性があるので、調査を行っておきたいプロセスであると判断することができます。
ウイルススキャンサービスへのアップロード
「Process」タブで、調査対象のプロセスを選択し右クリックをすると「Send to」が確認できます。
ここから、VirusTotalやjottiなどのウイルススキャンサービスヘアップロードをすることができます。
jottiは広告の表示が非常に多いので、誤ってクリックしないよう注意が必要です。