Process Explorer とは、Windowsタスクマネージャーの高機能版
Virus Total は、複数のウィルス対策ソフトでマルウェアが検知されるかテストできるサイト
この2つが連携したとのことなので、早速試してみた。
(窓の杜ニュースへのリンク)
【結論】便利だけど、めったに使うことはないだろうな
理由は後半で書く。
【手順】
1. マイクロソフトのTechNetからダウンロード Link
http://technet.microsoft.com/ja-jp/sysinternals/bb896653.aspx
2. ダウンロードしたフォルダにある「procexp.exe」を起動
3. 起動しているプロセスを右クリックして、Virus Totalを左クリック
画面は、「たのしいバイナリの歩き方」のサンプルマルウェアです。
4. そうすると、Virus Totalの規約画面がブラウザで開き、規約同意のポップアップが出る
Virus Totalの規約画面
規約同意のポップアップ
(Virus Totalの機能を利用するために規約に絶対に同意しろよ。Process Explorerはハッシュ値をvirustotal.comに送るからね、いいの?)
最後に注意書きのポップアップが表示
(オプションメニュで一括でチェックすることもできるし、プロセス毎にプロパティのダイアログボックスで個別にチェックできるよ。)
5. プロセスのイメージのハッシュ値が VirusTotal に送られる。
ここで重要なのは、プログラム自体を送るんじゃなくて、ハッシュ値を送るってこと。
6. しばらくすると結果が表示される。
あれっ?おかしい。
以前は、「たのしいバイナリの歩き方」のサンプルマルウェアはVirus Totalで検出されたのだが。
そこで、手動でVirus Totalでサンプルマルウェアを検出してみた。
そうすると、手動でファイルをあげたら、マルウェアとして検出された。やっぱり。
ちなみに、現在動いているプロセスを一括でチェックすることもできるようだ。
・検出精度に問題があるかも
・そもそも、チェックするきっかけがない
・CPUやメモリが遅くなって初めてProcess Explorerを立ちあげると思うのだが、
まず先に思いプロセスをkillしてしまう。(マルウェアだと思ってチェックしないだろう)