多数のプログラムが連動して動作するアプリケーションや、常時多数のアプリケーションが起動し続けているマシン(サーバーなど)については、ピンポイントでファイルパスを特定することは現実的に難しい場合があります。そのため、弊社としては、通常はフォルダパス単位(アプリケーションの実行ファイル格納フォルダ全体など)での例外リスト登録を推奨しています。
また、Process Monitorはマシンに負荷をかける可能性があり、ログ出力量が膨大となるためパスの特定まで時間がかかる可能性もあります。そのため、弊社としては、通常はProcess Monitorを使用せず、まずは広い範囲のフォルダパス単位で例外リストに登録していただき、徐々にフォルダパスを絞り込んでいく方法を推奨しています。
例)「C:\test\FFRIsec\」→「C:\test\FFRIsec\yarai\」→「C:\test\FFRIsec\yarai\bin\」
世界トップレベルのセキュリティ・リサーチ・チームを作り、
コンピュータ社会の健全な運営に寄与します。株式会社FFRIセキュリティ
FAQ
キーワードから探す
カテゴリから探す
Process Monitor を利用した例外リストに追加するアプリケーションのファイル/フォルダパス特定方法
最終更新日:2020/09/24目次
はじめに
yaraiをインストール後に監視動作が干渉してアプリケーションが正常に動作しないケースがありますが、複数のプログラムが連動して動作するシステムなど、例外に登録すべきアプリケーションのファイル/フォルダの特定が難しいケースがあります。このページではProcess Monitorというツールを利用したファイル/フォルダの特定方法についてご案内しています。
‼ 重要
⚠ 注意
アプリケーションがクラッシュするなど、起動しないケースでは正確なファイルパスまで特定することが難しい場合があります。その場合は、まずはフォルダパスを例外リストに入れてください。
手順
⚠ 注意
事前に必要のない他のアプリケーションは終了させてください。
OS上のプロセスの動作を監視するツールになり、取得する情報が多いため、長期間ログを取得し続けることは避けてください。常時多数のアプリケーションが起動し続けているマシン(サーバーなど)で実行した場合、マシンに負荷をかける場合がありますため、特に注意してください。
1.以下のURLからProcess Monitorをダウンロードします。
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
2.zipファイルを展開してProcmon.exeを管理者として実行してログ取得を開始します。
※使用許諾の同意を求められた場合は「Agree」をクリックしてください。
3.以下の画面が表示されますので、「Options」→「Select Columns」を選択します。
4.以下のオプションにチェックを入れて「OK」をクリックします。
- Image Path
- Company Name
5.問題となる事象を再現させます。
‼ 重要
事象の発生時刻をメモしてください。
6.以下の画面の赤枠で囲ってある虫眼鏡のアイコンをクリックしてログ取得を停止します。
7.事象発生時間帯にスクロールして、起動しているプロセスのImage Pathを確認して列挙していきます。
✔ 情報
Company Nameが「Microsoft Corporation」のものについてはOSのプロセスの可能性があるため、まずはそれ以外のものを例外リストに追加する対象とするのが望ましいと考えられます。
例外リストへの追加
上記手順にて確認したパスを例外リストに追加して、事象が回避できるか確認してください。
‼ 重要
この際、必ず例外リストの詳細設定より、以下の点を有効にしてください。
・このプログラムの脆弱性を防御しない
・このプログラムが出力するファイルを信頼する
もし上記オプションを有効にして問題が改善された場合は、必要に応じて、上記オプションを無効にして問題が再現するかを確認していただき、設定の調整をお願いします。
⚠ 注意
例外リスト追加後はアプリケーションを再起動するか、常駐しているプログラムの場合はOSを再起動します。
カテゴリ
