ホワイトブラックリスト作成ツールの操作名“プロセス終了”の出力内容について、具体例を挙げて説明してください。
以下の例は、「Adobe Flash Player 17 ActiveX」のインストーラをIEでダウンロード後、IEから表示される[プログラム実行]より、インストーラを実行した際の“プロセス終了”の履歴例になります。
履歴例は表示モードが“全て表示する”、リストモードが“分割モード”での表示内容になります。ホワイトブラックリスト作成ツールの[表示]-[表示モード]-[全てを表示]、[表示]-[リストモード]-[分割モード]で切り替わります。
なお、[表示]-[リストモード]-[H4Eモード]で表示すると、“どこから(どのように)”“何が”“どこへ(何を)”“何した”の形式で分かりやくす表示されますので、合わせてご確認ください。
<履歴内容>
項目 | 履歴例 |
アプリ設定 | アプリホワイトリスト(予定) |
動作設定 | 未設定 |
日付 | 2015/04/15 15:39:013 |
親プロセス名 | iexplore.exe |
親プロセス種別 | ブラウザー |
パス | C:\Users\<.\*>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YQZZFF6I\ |
ファイル名 | install_flashplayer17x32ax_chra_dy_awa_aih.exe[インストーラ] |
スクリプト名 | |
インタプリタ名 | |
起動場所 | ダウンロードファイル |
会社名 | Adobe Systems Incorporated |
デジタル署名 | 署名有 |
パス説明 | プロセス |
対象パス | C:\Users\<.\*>\AppData\Local\Microsoft\Windows\Temporary InternetFiles\Content.IE5\YQZZFF6I\install_flashplayer17x32ax_chra_dy_awa_aih.exe |
操作名 | プロセス終了 |
種類 | DeP履歴:検知されました |
追加情報 | |
備考 | |
バージョン | 3.5.4.26 |
ファイルサイズ | 1054400.0 |
更新日付 | 2015-04-15 15:37:00 +0900 |
ハッシュ値 | fc05cd231bcac528a4fc951e532ccd14572fa596081a09541ff0dcaadfcce696 |
大項目 | |
中項目 | |
小項目 | |
マシン名 | PC0010 |
ユーザ名 | UserID |
<説明>
・プロセス終了したAdobe Flash Playerのインストーラのファイル名は、ファイル名欄に表示されます。
終了したアプリケーションがDePによりインストーラと判断された場合、“アプリケーション名[インストーラ]”と表示されます。
→ install_flashplayer17x32ax_chra_dy_awa_aih.exe[インストーラ]
・Adobe Flash Playerのインストーラのパスは、パス欄に表示されます。
→C:\Users\<.\*>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YQZZFF6I\
<.\*>は、正規表現ですべての意味になります。本来ユーザIDのフォルダになりますが、ホワイトブラックリスト作成時には、ユーザ情報は不要なため、<.\*>に置き換えられます。
・終了したプログラムのフォルダがブラウザーのダウンロードフォルダである場合、起動場所欄に“ダウンロードファイル”と表示されます。
→ダウンロードファイル
・Adobe Flash Playerのインストーラを起動したプロセスは、親プロセス欄に表示されます。
→iexplore.exe
・親プロセスについて説明がある場合は、親プロセス種別に表示されます。
→ブラウザー
・Adobe Flash Playerのインストーラの情報(プロパティ情報等)が以下のように表示されます。
会社名:Adobe Systems Incorporated
デジタル署名:署名有
バージョン:3.5.4.26
ファイルサイズ:1,054,400 (単位バイト)
更新日付:2015/4/15 15:37
ハッシュ値:fc05cd231bcac528a4fc951e532ccd14572fa596081a09541ff0dcaadfcce696
・Adobe Flash Playerのインストーラを起動したユーザー、マシン、日付は以下のように表示されます。
ユーザ名:UserID
マシン:PC0010
日付:2015/04/15 15:39:013
・対象パス欄には、ホワイトブラックリストに登録する際の対象パスの値が表示されます。
→C:\Users\<.\*>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YQZZFF6I\install_flashplayer17x32ax_chra_dy_awa_aih.exe
・パス説明欄には、ホワイトブラックリストに登録する際の対象動作一覧の値が表示されます。
→プロセス
・ホワイトブラックリストへ追加するべきかの補足情報については以下に表示されます。種類が“DeP履歴(設定対象)”となっていない場合は、ホワイトブラックリストへ登録する必要はありません。
アプリ設定:アプリホワイトリスト(予定)
動作設定:未設定
種類 :DeP履歴:検知されました
更新日時:2016/04/01
NO:DB00130106