ホワイトブラックリスト作成ツールの操作名“隔離”の出力内容について、具体例を挙げて説明してください。
以下の例は、コマンドプロンプトから自動的に起動されたtpad109_setup.exeが、不正な動作と検知(インストーラ)され、“駆除”された際の履歴例になります。
履歴例は表示モードが“全て表示する”、リストモードが“分割モード”での表示内容になります。ホワイトブラックリスト作成ツールの[表示]-[表示モード]-[全てを表示]、[表示]-[リストモード]-[分割モード]で切り替わります。
なお、[表示]-[リストモード]-[H4Eモード]で表示すると、“どこから(どのように)”“何が”“どこへ(何を)”“何した”の形式で分かりやくす表示されますので、合わせてご確認ください。
<履歴内容>
項目 | 履歴例 |
アプリ設定 | 未設定 |
動作設定 | 未設定 |
日付 | 2015/04/16 09:25:053 |
親プロセス名 | cmd.exe |
親プロセス種別 | コマンドプロンプト(自動起動) |
パス | C:\Temp\ |
ファイル名 | tpad109_setup.exe[インストーラ] |
スクリプト名 | |
インタプリタ名 | |
起動場所 | |
会社名 | |
デジタル署名 | 署名無 |
パス説明 | |
対象パス | C:\Temp\tpad109_setup.exe |
操作名 | 隔離 |
種類 | DeP履歴:隔離されました |
追加情報 | |
備考 | |
バージョン | 5.25.00 |
ファイルサイズ | 795127.0 |
更新日付 | 2015-04-15 15:41:00 +0900 |
ハッシュ値 | eb5f04f34284bbb31216fe5ba21e0b7682cf59edf7b198943e191b243fb57578 |
大項目 | |
中項目 | |
小項目 | |
マシン名 | PC0010 |
ユーザ名 | UserID |
<説明>
・不正な動作と検知された(インストーラ)プログラムのファイル名は、ファイル名欄に表示されます。
→ tpad109_setup.exe[インストーラ]
・パス欄にはtpad109_setup.exeのパスが表示されます。
→C:\Temp\
・tpad109_setup.exeを起動したプロセスは、親プロセス欄に表示されます。
→cmd.exe
・親プロセスについて説明がある場合は、親プロセス種別に表示されます。
→コマンドプロンプト(自動起動)
・tpad109_setup.exeの情報(プロパティ情報等)が以下のように表示されます。
会社名:
デジタル署名:署名無
バージョン:5.25.00
ファイルサイズ:795,127 (単位バイト)
更新日付:2015/4/15 15:41:00
ハッシュ値:
・不正な動作と検知されユーザー、マシン、日付は以下のように表示されます。
ユーザ名:UserID
マシン:PC0010
日付:2015/04/15 2015/04/16 09:25:053
・対象パス欄には、隔離した対象パスが表示されます。
→C:\Temp\tpad109_setup.exe
・ホワイトブラックリストへ追加するべきかの補足情報については以下に表示されます。種類が“DeP履歴(設定対象)”となっていない場合は、ホワイトブラックリストへの登録する必要はありません。
アプリ設定:未設定
動作設定:未設定
種類 :DeP履歴:隔離されました
更新日時:2016/04/01
NO:DB00130116