Process ExplorerとVirusTotalで悪意のあるプロセスを検出する方法

最終更新: 19/09/2025
著者: アイザック
  • Process Explorer は VirusTotal を統合してハッシュを比較し、脅威の優先順位を付けます。
  • プロパティ、署名、および緩和策 (DEP/ASLR) が重要なシグナルを提供します。
  • オートラン、アンチルートキット、ネットワークにより調査とクリーンアップが完了します。
  • 強化後: パッチ、防御層、およびバックアップ。

Process Explorerで悪意のあるプロセスを検出する

悪意のあるプロセスを検出する Windows それは必ずしも明白なことではないが、 マルウェア これらは高度な技術を使って隠れています。数十ものプロセスに紛れ込まずにそれらを見つける方法がわからない場合は、Process ExplorerとVirusTotalとの統合が非常に役立ちます。

このガイドでは、 実践的で非常に詳細なツアー Process Explorer を使用して疑わしいプロセスを調査し、VirusTotal を使用してスキャンを開始し、結果を解釈し、Autoruns、ルートキット対策ツール、ネットワーク監視、その他のクリーンアップおよび強化対策を使用して調査を補完します。

Process Explorer とは何ですか? また、それが悪意のあるプロセスを探すための鍵となるのはなぜですか?

Process Explorer とは何ですか? また、どのように機能しますか?

プロセスエクスプローラ これは、Microsoftのユーティリティ(Sysinternalsコレクション)であり、 Windowsでプロセスを詳細に監視するCPU/RAM使用量、階層構造、記述子、ロード済みモジュール、実行パス、権限、デジタル署名など、様々な情報を表示します。ポータブルでインストール不要、数秒で情報に基づいた意思決定が可能です。

2014年からは、 VirusTotalの、それが可能になる 各実行ファイルのハッシュを比較する クラウド上に複数のウイルス対策エンジンのデータベースを格納。この追加レイヤーにより、ツールを離れることなく、正当なプロセスとそうでないプロセスを区別しやすくなります。

簡単に言えば、Process Explorer からの VirusTotal による分析フローは次のようになります。 プロセスを選択する、ツール ハッシュを送信する 実行ファイル(ファイル自体ではない)からVirusTotalに、 署名ベースと比較する そしてすぐに スコアが見える Process Explorer 内の専用列に表示されます。

  1. プロセスの選択: リストから確認したいプロセスを選択します。
  2. ハッシュを送信しています: Process Explorer はバイナリ ハッシュを計算し、VirusTotal に送信します。
  3. 分析: VirusTotal エンジンは、そのハッシュをマルウェア リポジトリと比較します。
  4. 結果: 追加された判定 (陽性/エンジン) を含む列が表示されます。

その利点としては、 迅速な検出 潜在的な脅威の 豊富な詳細 VirusTotalが提供する家族や一致に関する情報と 使いやすさ: 複雑な構成なしで、すべてが Process Explorer インターフェイスに統合されます。

制限事項として覚えておくべきことは、 効果はVirusTotalに依存する (マルウェアが非常に新しい場合は表示されない可能性があります)そして、 スキャンは消費を増やす 特に、小規模なコンピュータや同時プロセスが多いコンピュータでは、ハッシュを照会する際にリソースを消費します。

プロセスエクスプローラーでVirusTotalを有効にして結果を理解する方法

プロセスエクスプローラーでVirusTotalを有効にする

まず、Sysinternals からツールをダウンロードし、解凍して実行します。 procexp64.exe 64ビット版Windowsをお使いの場合は管理者として実行してください。移植性が高いため、 インストールは必要ありません、特定の分析に非常に便利です。

  Android および iPhone のバックアップから Telegram チャットをアーカイブする方法

VirusTotalとの統合を有効にするには、上部のバーで オプション > VirusTotal チェックをオンにしてください。自動的に 新しいコラム 0/70、1/70 などと表示され、いくつのエンジンがファイルを疑わしいと報告したかを示します。

0/nは通常、 エンジンが検出されませんでした クエリされたハッシュに関連する悪意のあるアクティビティ。 いくつかの孤立した陽性 (例えば、赤の1/70)、急がないでください。 誤検知結果をクリックすると、VirusTotal レポートが開き、詳細を確認できます。

カウンターが急上昇した場合(例えば15/70以上)、それは明らかにリスクの兆候です。その場合、賢明な対応は プロセスを終了します 必要に応じて機械を主電源から慎重に切り離し、 マルウェア対策スキャンに合格する 原因を特定して排除する作業を完了します。

手動調査: プロセスプロパティ、シグネチャ、DEP/ASLR、微妙な手がかり

疑わしいプロセスの手動分析

VirusTotalの評価を超えて、Process Explorerが輝くのは プロセスのプロパティを開く (ダブルクリックまたは右クリック > プロパティ)。ここでは、イメージのパス、実行ユーザー、読み込まれたモジュール、開いている記述子、リソース使用量、その他の詳細情報を確認できます。

最初に役立つフィルターは、 実行ファイルがロードされたパス一時フォルダやユーザープロファイルからシステムであると偽った何かが動作している場合、 悪いビジネス. のオプションも使用できます。 インターネットでファイル名を検索する 評判、文書、他の人があなたを脅威と認識しているかどうかを確認します。

もう一つの重要なチェックは デジタル署名検証 バイナリの。Process Explorerを使用すると、実行ファイルが署名されているか、その署名が有効かどうかを確認できます。信頼できるプロバイダからのファイルは 署名されていない または署名が検証できない場合は 黄旗典型的な例としては、署名されたインストーラーをダウンロードしたにもかかわらず、最終的な実行ファイルが署名されていないため、トロイの木馬化されたバージョンに置き換えられる危険にさらされた顧客が挙げられます。

対照的に、 検証済み署名、それが自信を高めます。注:今日では、 乱用 ドライバー 署名 第三者やサプライチェーンから悪意のあるバイナリが侵入する可能性があるため、署名は絶対的な保証ではありませんが、コンテキストにおける重要な指標となります。

また、 異常な行動 不当なCPUスパイク、過剰なディスクアクティビティ、機密性の高い場所への書き込み、またはプロセスに次のような最新の緩和策がないという事実など DEP または ASLR 予想外の時に活動している。こうした小さなシグナルを組み合わせることで、正常な状態と疑わしい状態を区別するのに役立ちます。

  iPhone の Safari で「履歴を消去」オプションがグレー表示される

良い習慣とは 暗記している チームが通常どのようなプロセスを実行しているか、定期的に確認し、変更内容を文書化します。システムをよく理解すればするほど、 より早く発見できる 場違いな要素。

高度なテクニック: 自動実行、ルートキット、ネットワーク、MBR、再インストールのタイミング

Process Explorer を補完する高度なテクニック

Process Explorerは操作の中心ですが、難しい場合には他のSysinternalsユーティリティや 専用ツール 隠れた脅威に対する検出およびクリーンアップ機能を拡張します。

Windowsの起動時に自動的に実行されるプログラムには、Autorunsが不可欠です。 Autoruns あなたは絶対にすべてのエントリを見るでしょう ブーツ (apps、サービス、拡張機能、スケジュールされたタスクなど)。疑わしいものを無効にしたり、場所を開いたり、 登録キー 検査に対応する。レビューの典型的なルートには以下が含まれる。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run およびユーザーあたりの同等数。

疑わしい場合は ルートキット (システムの奥深くに潜むマルウェア)の場合は、別のアプローチが必要です。 Malwarebytesアンチルートキット, TDSSKiller カスペルスキーまたは GMER (互換性はありません Windows 11 (今日では) 従来のウイルス対策ソフトウェアでは検出できないものを発見するのに役立ちます。

ルートキットに対する効果を最大化するには、 で再開する セーフモード スキャン前にマルウェアが読み込まれる機会を減らすことができます。一部のツールのウィザードでは、 復元ポイントを作成する詳細な分析を実行し、終了したら クリーニング 要求に応じて再起動します。

La ネットワークアクティビティ それはまた多くのことを明らかにします。 netstat アクティブな接続と関連するプロセスを見つけるには、 CMD 特権付き netstat -ano不明な IP アドレスへの永続的な接続が見られる場合、そのセッションを維持している PID を調査し、それを Process Explorer 内のプロセスと照合します。

より高いレベルの可視性を実現するために、 Wiresharkの トラフィックをキャプチャして分析できます。基本的な流れはシンプルです。インターフェース(Wi-Fiまたはイーサネット)を選択し、キャプチャ開始(サメのアイコン)を押し、IPアドレスを識別します。 ipconfig次のようなフィルターを適用します ip.addr == TU_IP または特定のプロトコル(例: HTTP)分析するのに十分な材料が集まったら撮影を停止します 出発地/目的地と港.

  1. インターフェースを選択してください 監視とキャプチャが始まります。
  2. IPアドレスを取得する とともに ipconfig 正確にフィルタリングします。
  3. フィルターを適用する として ip.addr == TU_IP またはプロトコルによって。
  4. キャッチのために 不審な荷物を詳細に検査します。

ブートが侵害される可能性がある場合、高度なマルウェアがブートに影響を与えることを忘れないでください。 MBR (マスターブートレコード) Windowsの前に実行します。Windowsインストールメディアを使用すると、スタートアップ修復を開き、コンソールで bootrec /fixmbr この重要なセクターを再建するために。これは慎重かつバックアップを伴って実施されるべき、外科的な措置です。

  Linux execコマンド:シェル、C、Perlでの高度な使用法

それでも感染が続いたり症状が再発したりする場合は、 クリーン再インストール システムを再起動する必要があります。ドキュメントはバックアップしてください。ただし、古いプログラムや設定を盲目的に復元することは避けてください。気づかないうちに問題が再発する可能性があります。

最後に、マルウェアは進化しており、 署名されたドライバーを活用する 持続性を獲得するためです。これは、VirusTotalのレピュテーション、デジタル署名、ファイルの場所、動作、ネットワーク接続、スタートアップエントリなど、複数のシグナルを組み合わせるという考え方を裏付けています。

セキュリティを強化: パッチ、防御層、バックアップ、専門家のサポート

掃除が終わったら、ドアを閉めることが重要です。 セキュリティパッチ Windowsとインストール済みのソフトウェア、特にブラウザ、メッセージングクライアント、インターネットとやり取りするツール。システムを更新することで、攻撃対象領域が縮小され、既知のゼロデイ攻撃を防御できます。

採用を検討してください 多層セキュリティソリューションオンデマンドスキャンと行動検知機能、適切に設定されたファイアウォール、そして必要に応じてアンチルートキットユーティリティを備えたアンチウイルス。多様なレイヤーにより、攻撃者の侵入を困難にし、侵入を迅速に阻止できる可能性を高めます。

無視しないでください 定期的なバックアップ 外部メディアまたはクラウドに保存してください。少なくとも1つのコピーが オフラインまたは不変 ランサムウェアによるデータの暗号化を防ぐためです。問題なくデータを復旧できるよう、定期的に確認しましょう。

行き詰まったり、すぐに出発する必要がある場合は、いつでも 専門家の助けを求める専門サービスでは、手頃な価格で診断とガイド付きの除去を提供しており、重要な作業環境での時間と手間を軽減できます。

上記のすべてで、堅実なロードマップが完成します。 プロセスエクスプローラ プロセスと署名をX線検査するには、 VirusTotalの 即座にコントラストをつけるには、 Autoruns, ルートキット対策ツール y ネットワーク分析、そして、 ブーツ修理 または、必要に応じて再インストールします。そこから、パッチ、防御層、バックアップを使用してセキュリティを強化し、次回は宿題を終えた状態で対処できるようにします。