2014年12月12日金曜日

[Windows][Sysinternals]Process Explorer でロードされているファイルをVirusTotalでチェックする

Process Explorer を使うと現在 Windows 上にロードされている全ての実行ファイルと dll ファイルを見ることができます。

この全てのファイルを Virus Total でチェックして、変なファイルがロードされていないかをチェックします。


起動は「管理者として実行」します。(権限が足りずアクセス出来ないファイルがあるため)

赤で表示されたプロセスは Windows のサービストして実行されているプロセス
青く表示されたプロセスは Process Explorer を実行しているアカウントと同じアカウントで実行しているプロセス

これらプロセスは右クリックメニューの[Check VirusTotal]でウイルススキャンのチェックをすることが出来ます。

はじめて実行するときは警告のダイアログがでますが、問題ないので「OK」ボタンを押します。

VirusTotal といいう欄が出て、[0/55]と表示されています。
これは 55種類のアンチウイルスソフトのスキャンを行って、マルウェアとヒットしたのが 0 件という意味になっています。

一部だけ、[System Idle Process]と[System]、[Interrupts]といったいくつかのファイルは[Check VirusTotal]がマスクされていて使えなくなってますが、その他のプロセスはこれでチェックすることができます。

まれにヒットするものも出てきますが、これは 48種類のうちの 1種類だけで検知しています。
当然身に覚えのあるファイルかどうかと考えてみたり、ネットで検索してみたりとしてチェックします。1個、2個のソフトで検知したりしたものだと、誤検知も多々あります。

このプロセス「NTMETER.exe」はネットで検索すると NEC製のパソコンに入っている電源管理のプロセスみたいです。

リンクをクリックすると何のアンチウイルスソフトでヒットしたのか分かります。Bkav というベトナムのフリーのアンチウイルスソフトでした。


Process Explorer の下半分の画面表示の切り替えはこのようにします。
Ctl + L: Lower Pane の表示/非表示の切り替え。
Ctl + D: DLL 表示に切り替え
Ctl + H: Handle 表示に切り替え

下半分の表示を DLL 表示に切り替えると、プロセスがロードした全ての DLL が表示されます。

同様の手順で DLL も VirusTotal のチェックが出来ます。

1つ1つマウスでクリックしながら操作するのでかなり大変です。

ファイルのハッシュ値をマシン上で計算して、そのハッシュ値を VirusTotal に送ってチェックをしています。

結果が[Unknown]となるものがあります。
これはそのハッシュ値のスキャン結果を Virus Total が持っていないことによるものなので、ファイルそのものを Virus Total に送ってスキャンをすれば結果を手に入れることもできます。
拡張子が db とか dat とかのファイルはファイルの中身がコロコロと変わるファイルだったりすることもあるので、ものによっては Virus Total に送ってまでチェックしなくてもいいかなという気もします。

最新のエンジンでスキャンをした結果というわけではないから、これで見つからなければ安全とはいい切れないです。それでも1度やって見る価値はあると思います。

Windows Tools のページに戻る

0 件のコメント:

コメントを投稿