強力なウイルス解析ツール InstallRite ポータブルクラック版ダウンロード、InstallRite でウイルスを解析するチュートリアル
ダウンロード先:http://olseeling.qjwm.com/down_1173304.html
中国語化パッチ:http://olseeling.qjwm.com/down_1173268.html
InstallRite は、スナップショットの比較によってシステムの変化を分析するツールです。本来は、ソフトウェアのインストール前後にファイルやレジストリへ加えられた変更を確認するためによく使われますが、不審なプログラムの分析を補助する用途にも使えます。まずシステム状態を記録し、次にサンプルを実行し、最後に前後 2 回のスナップショットを比較すれば、どのファイルが追加、変更、削除されたのか、またどのレジストリ項目が変更されたのかを確認できます。
ウイルスや不審なプログラムを分析するときは、普段使っているシステム上で直接実行することはおすすめしません。仮想マシンを用意し、事前に仮想マシンのスナップショットを保存し、できるだけネットワーク環境も隔離しておくのが理想です。そうしておけば、サンプルが破壊的な動作をしてもシステムをロールバックでき、実機への影響を避けられます。
基本的な考え方
InstallRite の分析原理はとても直感的です。
- 不審なプログラムを実行する前に、現在のシステムのスナップショットを作成します。
- ウイルスまたは不審なプログラムを実行し、処理が完了するまで待ちます。
- InstallRite の分析機能を実行し、直近のスナップショット以降に発生した変更を比較します。
- ファイルシステムとレジストリの差分を確認し、サンプルがどのような動作をしたのか判断します。
- 差分結果に基づいて追加されたファイルを削除し、変更されたレジストリ項目を復元するか、起動項目、サービス、投下されたファイルをさらに特定します。
操作手順
第一に、ポータブル版の登録と中国語化を完了してから、ウイルスを分析する前にシステムのスナップショットを作成します。このスナップショットは「クリーンな状態」の基準になり、以後のすべての変化はこれと比較されます。
第二に、スナップショットの作成が完了したら、ウイルスサンプルを実行します。実験は仮想マシン内だけで行い、実行前に仮想マシン自体のスナップショットも保存しておくことをおすすめします。ウイルスが完全に実行されたら、InstallRite の分析機能をクリックし、直近のスナップショット以降に加えられた変更を分析します。
第三に、分析が完了したら、上部の「インストールをチェック」をクリックします。ここで、ウイルスファイルがシステムに加えた変更を確認できます。これには、追加または変更されたファイル、レジストリキーや値などの情報が含まれます。
分析時に注意すべき場所
結果を確認するときは、次の場所に重点的に注目できます。
- システムのスタートアップ項目、および Run、RunOnce などのレジストリ位置。
- システムディレクトリ、一時ディレクトリ、ユーザーディレクトリ配下に追加された実行ファイル。
- 置き換えられた、または削除された重要ファイル。
- 新規に追加されたサービス、ドライバ、スケジュールタスク、または異常な自動起動設定。
- ブラウザ、ネットワークプロキシ、ファイアウォール設定に関連するレジストリ変更。
あるプログラムがインストール時に何を変更したのかを判断したいだけなら、上記の手順でそのまま比較すれば十分です。ウイルスを分析する場合は、InstallRite の結果をほかのツールと併用するのがよいでしょう。たとえば、プロセス確認ツール、スタートアップ項目確認ツール、ネットワーク接続確認ツールなどです。InstallRite は主に「前後で何が変わったのか」を教えてくれますが、それぞれの変化がどの程度悪意のあるものかまでは必ずしも示してくれません。実際のパス、ファイル名、署名、実行時の挙動を組み合わせて判断する必要があります。
このソフトにはほかにも機能がありますが、今回は主に、スナップショット比較を使って不審なプログラムを分析する方法を紹介しました。その他の機能については、自分でさらに調べてみてください。