トップ «前の日記(2006-05-26) 最新 次の日記(2006-06-01)» 編集

ORCA愉快日記

2004|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|10|11|12|
2012|01|02|09|
2013|04|

2006-05-30 ウイルスの挙動を調査するときのメモ

_ [PC] ウイルスの挙動を調査するときのメモ

ウイルスの挙動をVMware Workstation上で確認したときのメモ。Vmware Workstation上で、仮想マシン環境を構築しておき、スナップショットを取っておく。

VMwareの仮想ネットワークデバイスを切断しておき、念のためLANケーブルを物理的に抜いてネットワークから隔離する。また、ウイルスの挙動を確認するために、regmonやfilemonといったレジストリ/ファイル監視ツールをインストールして実行しておく。この状態で、ウイルスを発動させて、監視ツールのログを取得、検証を行ったり、プロセスやネットワーク状態の調査を行う。

追記 :ただし、VM環境中で動作していることを検知して動作を変えるウイルスやワームの場合は、動作を検知することは難しくなるので注意が必要。

□ VMwareの違い
VMware Workstation :有償。複数スナップショットなどに対応。仮想環境の作成も可能。
VMware Server :現在β版だが無償。スナップショットに1つのみ対応。仮想環境の作成も可能。
Vware Player :無償。仮想環境を実行できるが、スナップショット機能はない。
  
http://www.vmware.com/jp/products/desktop/ws_features.html
  
□ レジストリ監視ツール(regmon)とファイル監視ツール(filemon)の使い方
sysinternalsのフリーウェアであるregmonやfilemonを使用すると、詳細な
レジストリやファイルへのアクセスログが取得できる。
大量にメッセージが表示されるのでフィルタ機能(include,exclude)を利用して、
特定のプロセスについてのみログを取得するのがよい。
特に、ログ中のCreateKeyやSetValueやWRITEなどのリクエストに関して
注意して見る。Windowsのシステム内部的なアクセスもログに含まれるので、
ウイルスの挙動かどうかよく確認すること。詳細な調査を行うには、時間がかかる。
  
@IT - レジストリへのアクセスをモニタする方法
http://www.atmarkit.co.jp/fwin2k/win2ktips/111regmon/111regmon.html
@IT - オープンしているファイルを調査する
http://www.atmarkit.co.jp/fwin2k/win2ktips/306openfiles/openfiles.html
Sysinternals フリーウェア
http://www.sysinternals.com/FileAndDiskUtilities.html

_ [PC] セーフモードとコマンドプロンプトでレジストリを操作する

ウイルスによって、レジストリやファイルが書き戻されてしまうため、「セーフモード」での操作でもうまく駆除できない場合に、「セーフモードとコマンドプロンプト」でレジストリを操作するためのメモ。

セーフモードで、ウイルスの自動実行を停止しようとしても、レジストリキーを
書き戻されてしまった。このため、「セーフモードとコマンドプロンプト」で
起動して、コマンドラインからreg.exeによりレジストリを操作する方法だと、
ウイルスの自動実行を停止し、駆除することができた。
  
Windows XPでは、レジストリ操作ツールreg.exeはデフォルトで
C:\winnt\system32にインストールされているので、インストールの必要はない。
Windows 2000では、レジストリ操作ツールはインストールされていないので
インストールCD-ROM中のsupport\tools\setup.exeを実行してインストール
するか、以下からファイルを取得し、インストールする必要がある。
    
Windows 2000 SP4 サポートツール ダウンロード
http://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp4/supporttools.asp
  
レジストリの削除は、以下の例のようにして行う。
reg.exe delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"
  
参考URL
http://www.atmarkit.co.jp/fwin2k/win2ktips/391cmdreg/cmdreg.html

_ [その他] 自称コンピュータのプロ?

そもそもコンピュータのプロってなんぞや?というところから始めて小一時間(w メリットもリスクも分かって、最適な解決ポイントへ導けるようでないとプロと言えないだろうねぇ。
ふと、なつかしいコンテンツを思い出したのでリンク。

今日の必ずトクする一言 - B級マック種パソコン医局員のナゾ
http://tenjin.coara.or.jp/~tomoyaz/higa9711.html#971107

_ [航空] Flight Simulatorの地形シミュレーションテクノロジ

FSの地形シミュレーションテクノロジに関する記事と、FS Xに関するFAQのメモ。
かいつまんで翻訳すると、FS Xは2006年の(年末の)ホリデーシーズンにリリース。Windows Vistaは必須ではないが、Vistaであればベスト。ハードウェアスペックに関しては決まっていないが、幅広いマシンで動作可能にしようと思っている。FS XはDVD媒体でのみ提供され、CD媒体で提供する予定はない。FS2004の飛行機とも、高いレベルの後方互換性を保つようにテストしている。多くの航空機は、ミッションベースのゲームと関係している。コミュニティ開発者のアドオン航空機を簡単にダウンロードできるようにする予定。搭載される空港の数は24000以上。

microsoft.com - Global Terrain Technology
http://www.fsinsider.com/articles/Global_Terrain_Technology.htm
microsoft.com - Flight Simulator X FAQ
http://www.fsinsider.com/articles/flight_simulator_x_faq.htm

トップ «前の日記(2006-05-26) 最新 次の日記(2006-06-01)» 編集