ホワイトブラックリスト作成ツールの操作名“ファイル削除”の出力内容について、具体例を挙げて説明してください。
以下の例は、システムフォルダ(C:\Windows\system32)上にあるtpad109.exeを削除した際に、不正な動作と検知(ファイル削除)された際の“ファイル削除”の履歴例になります。
履歴例は表示モードが“全て表示する”、リストモードが“分割モード”での表示内容になります。ホワイトブラックリスト作成ツールの[表示]-[表示モード]-[全てを表示]、[表示]-[リストモード]-[分割モード]で切り替わります。
なお、[表示]-[リストモード]-[H4Eモード]で表示すると、“どこから(どのように)”“何が”“どこへ(何を)”“何した”の形式で分かりやくす表示されますので、合わせてご確認ください。
<履歴内容>
項目 | 履歴例 |
アプリ設定 | 未設定 |
動作設定 | 未設定 |
日付 | 2015/04/15 16:03:036 |
親プロセス名 | Explorer.EXE |
親プロセス種別 | エクスプローラ(手動起動) |
パス | C:\Windows\system32\ |
ファイル名 | cmd.exe |
スクリプト名 | |
インタプリタ名 | |
起動場所 | |
会社名 | Microsoft Corporation |
デジタル署名 | 署名無 |
パス説明 | ファイル(OSのシステム領域) |
対象パス | C:\Windows\System32\tpad109.exe |
操作名 | ファイル削除 |
種類 | DeP履歴(設定対象):警告パネルが表示される操作が検知されました |
追加情報 | |
備考 | |
バージョン | 6.1.7601.17514 (win7sp1_rtm.101119-1850) |
ファイルサイズ | 302592.0 |
更新日付 | 2010-11-20 04:17:00 +0900 |
ハッシュ値 | 17f746d82695fa9b35493b41859d39d786d32b23a9d2e00f4011dec7a02402ae |
大項目 | |
中項目 | |
小項目 | |
マシン名 | PC0010 |
ユーザ名 | UserID |
<説明>
・不正な動作と検知された(ファイル削除)プログラムのファイル名は、ファイル名欄に表示されます。
→ cmd.exe
・パス端にはcmd.exeのパスが表示されます。
→C:\Windows\system32
・cmd.exeを起動したプロセスは、親プロセス欄に表示されます。
→Explorer.exe
・親プロセスについて説明がある場合は、親プロセス種別に表示されます。
→エクスプローラ(手動起動)
・cmd.exeの情報(プロパティ情報等)が以下のように表示されます。
会社名:Microsoft Corporation
デジタル署名:署名無
バージョン:6.1.7601.17514 (win7sp1_rtm.101119-1850)
ファイルサイズ:302,592 (単位バイト)
更新日付:2010/11/20 4:17:00
ハッシュ値:17f746d82695fa9b35493b41859d39d786d32b23a9d2e00f4011dec7a02402ae
・不正な動作と検知されユーザー、マシン、日付は以下のように表示されます。
ユーザ名:UserID
マシン:PC0010
日付:2015/04/15 16:03:036
・対象パス欄には、ホワイトブラックリストに登録する際の対象パスの値が表示されます。
→C:\Windows\System32\tpad109.exe
・パス説明欄には、ホワイトブラックリストに登録する際の対象パスの値が表示されます。
→ファイル(OSのシステム領域)
対象パスの値が特殊な場合、説明が付加されます。
・ホワイトブラックリストへ追加するべきかの補足情報については以下に表示されます。
アプリ設定:未設定
動作設定:未設定
種類 :DeP履歴(設定対象):DeP履歴(設定対象):警告パネルが表示される操作が検知されました
更新日時:2016/04/01
NO:DB00130112