ホワイトブラックリスト作成ツールの操作名“メモリ書き込み”の出力内容について、具体例を挙げて説明してください。
以下の例は、サーバの共有フォルダ上にあるspyxx.exe(メッセージ監視開発ツール)を起動した際に、不正な動作と検知され(メッセージ監視)、警告パネルの「止める」を押した際の“メモリ書き込み”の履歴例になります。
履歴例は表示モードが“全て表示する”、リストモードが“分割モード”での表示内容になります。ホワイトブラックリスト作成ツールの[表示]-[表示モード]-[全てを表示]、[表示]-[リストモード]-[分割モード]で切り替わります。
なお、[表示]-[リストモード]-[H4Eモード]で表示すると、“どこから(どのように)”“何が”“どこへ(何を)”“何した”の形式で分かりやくす表示されますので、合わせてご確認ください。
<履歴内容>
| 項目 | 履歴例 |
| アプリ設定 | 未設定 |
| 動作設定 | 未設定 |
| 日付 | 2015/04/17 14:52:055 |
| 親プロセス名 | Explorer.EXE |
| 親プロセス種別 | エクスプローラ |
| パス | \\Server\Tools\ |
| ファイル名 | SpyHk55.dll(spyxx.exe) |
| スクリプト名 | |
| インタプリタ名 | |
| 起動場所 | リモートドライブ |
| 会社名 | Microsoft Corporation |
| デジタル署名 | 署名無 |
| パス説明 | メモリ |
| 対象パス | すべてのアプリケーション |
| 操作名 | メモリ書き込み |
| 種類 | DeP履歴(設定対象)-警告パネルから「止める」を選択しました |
| 追加情報 | |
| 備考 | |
| バージョン | 6.00.8168.0 |
| ファイルサイズ | 49210.0 |
| 更新日付 | 1998-06-17 00:00:00 +0900 |
| ハッシュ値 | 215d47132c9a91bbfb00b0b1b983d047a60d0dfc8a538865d087d9a1824a41eb |
| 大項目 | |
| 中項目 | |
| 小項目 | |
| マシン名 | PC0010 |
| ユーザ名 | UserID |
<説明>
・不正な動作と検知された(メッセージ監視)プログラムのファイル名は、ファイル名欄に表示されます。
→ SpyHk55.dll(spyxx.exe)
・SpyHk55.dllのパスが表示されます。
→\\Server\Tools\
・起動したプログラムのフォルダがネットワーク上にある場合、起動場所欄に"リモートドライブ"と表示されます。
→リモートドライブ
・spyxx.exeを起動したプロセスは、親プロセス欄に表示されます。
→Explorer.exe
・親プロセスについて説明がある場合は、親プロセス種別に表示されます。
→エクスプローラ
・SpyHk55.dllの情報(プロパティ情報等)が以下のように表示されます。
会社名:Microsoft Corporation
デジタル署名:署名無
バージョン:6.00.8168.0
ファイルサイズ:49,210 (単位バイト)
更新日付:1998/6/17 0:00:00
ハッシュ値:215d47132c9a91bbfb00b0b1b983d047a60d0dfc8a538865d087d9a1824a41eb
・不正な動作と検知され、警告パネルの「止める」を押したユーザー、マシン、日付は以下のように表示されます。
ユーザ名:UserID
マシン:PC0010
日付:2015/04/17 14:52:055
・対象パス欄には、ホワイトブラックリストに登録する際の対象パスの値が表示されます。
→すべてのアプリケーション
・パス説明欄には、ホワイトブラックリストに登録する際の対象動作一覧の値が表示されます。
→メモリ
・ホワイトブラックリストへ追加するべきかの補足情報については以下に表示されます。
アプリ設定:未設定
動作設定:未設定
種類 :DeP履歴(設定対象):警告パネルから「止める」を選択しました
更新日時:2016/04/01
NO:DB00130109