ホワイトブラックリスト作成ツールの操作名“他プロセス起動”の出力内容について、具体例を挙げて説明してください。
以下の例は、スタートアップ登録されているezsptbtn4.exeがezopqtchk.exeを起動したとき、不正な動作と検知され(他プロセス起動)、警告パネルの「止める」を押した際の“他プロセス起動”の履歴例になります。
履歴例は表示モードが“全て表示する”、リストモードが“分割モード”での表示内容になります。ホワイトブラックリスト作成ツールの[表示]-[表示モード]-[全てを表示]、[表示]-[リストモード]-[分割モード]で切り替わります。
なお、[表示]-[リストモード]-[H4Eモード]で表示すると、“どこから(どのように)”“何が”“どこへ(何を)”“何した”の形式で分かりやくす表示されますので、合わせてご確認ください。
<履歴内容>
項目 | 履歴例 |
アプリ設定 | 未設定 |
動作設定 | 未設定 |
日付 | 2015/04/15 19:46:036 |
親プロセス名 | explorer.exe |
親プロセス種別 | スタートアップ(自動起動) |
パス | 危険なモジュール |
ファイル名 | 危険なモジュール(ezsptbtn4.exe) |
スクリプト名 | |
インタプリタ名 | 危険なモジュール |
起動場所 | |
会社名 | 不明 |
デジタル署名 | 署名無 |
パス説明 | |
対象パス | c:\fjuty\sptnavi\ezopqtchk.exe |
操作名 | 他プロセス起動 |
種類 | DeP履歴(設定対象):警告パネルから「止める」選択しました |
追加情報 | c:\fjuty\sptnavi\ezopqtchk.exe /s:ezopqtchk /x:c:\users\userID\appdata\roaming\fujitsu\sptnavi\xml\onlinepoqet.xml /web |
備考 | |
バージョン | |
ファイルサイズ | |
更新日付 | |
ハッシュ値 | |
大項目 | |
中項目 | |
小項目 | |
マシン名 | PC0010 |
ユーザ名 | UserID |
<説明>
・不正な動作と検知された(他プロセス起動)プログラムのファイル名は、ファイル名欄に表示されます。
→ 危険なモジュール(ezsptbtn4.exe)
・アプリケーションの脆弱性を利用した悪意あるモジュールの可能性がある場合は、“危険なモジュール”と表示されます。
→危険なモジュール
・ezsptbtn4.exeを起動したプロセスは、親プロセス欄に表示されます。
→explorer.exe
・親プロセスについて説明がある場合は、親プロセス種別に表示されます。
→スタートアップ(自動起動)
・ezsptbtn4.exeの情報(プロパティ情報等)が以下のように表示されます。
会社名:不明
デジタル署名:署名無
バージョン:
ファイルサイズ:
更新日付:
ハッシュ値:
・不正な動作と検知され、警告パネルの「止める」を押したユーザー、マシン、日付は以下のように表示されます。
ユーザ名:UserID
マシン:PC0010
日付:2015/04/15 19:46:036
・対象パス欄には、ホワイトブラックリストに登録する際の対象パスの値が表示されます。
→すべてのアプリケーション
・ホワイトブラックリストへ追加するべきかの補足情報については以下に表示されます。
アプリ設定:未設定
動作設定:未設定
種類 :DeP履歴(設定対象):警告パネルから「止める」を選択しました
更新日時:2016/04/01
NO:DB00130110