Windows管理者必携、Sysinternalsでシステムを把握する:Security&Trust ウォッチ(43)
SysinternalsというWebサイトをご存じだろうか?
何となくそこにたくさんのツールがあるのは知っていても、Webサイトが英語版しかないので全部読む気がしない。また、いくつかのツールは使っているけど、ほかにどういったユーティリティが提供されているのか細かく見ていないという人がいるのではないだろうか。
筆者もその1人で、「Process Explorer」などの有名なツールは使っていたが、全ぼうは把握していなかった。
Windowsを使っているシステム管理者や技術者の方ならば、Sysinternalsという名前を知っている方は多いはずだ。SysinternalsはWindows標準のツールでは管理できないシステム情報などを扱うツールを数多く提供している。
このSysinternalsは、Mark Russinovich氏とBryce Cogswell氏が1996年に設立したWinternals Softwareが提供するWebサイトで、現在はMicrosoftに買収されている。そして、2006年11月からMicrosoft TechNetで「Windows Sysinternals」というWebサイトで提供されている。
【Microsoft TechNet: Windows Sysinternals】
http://www.microsoft.com/technet/sysinternals/default.mspx
これらのツールではセキュリティカテゴリとして登録されているものもあり、PC上で動いているプロセスをさらに細かく表示するツールや、rootkit的動作をする可能性が含まれるレジストリを表示するものなど、不正なプロセスや挙動がないかを把握することも可能だ。今回はこのツール群から、システムのチェックに必要なもの、運用管理に便利なものをいくつかピックアップして紹介しよう。
多機能なプロセス管理ツール:Process Explorer
Process Explorerは、プロセスに関する情報や、プロセス管理に必要な操作などに必要と思われる機能を数多く盛り込んだプロセス管理のためのツールである。
図1 Process Explorer実行画面現在稼働しているプロセスについての詳細情報の表示はもちろん、プロセスのkillやリスタート、サスペンド、優先度の変更なども行うことができる。プロセスに関する表示項目は、メニューの[View]→[Select Columns]でカスタマイズすることができるので、必要な項目を追加していくことができる。
また、メニューの[Options]→[Replace Task Manager]にチェックを入れることで、Ctrl+Shift+Escで呼び出す標準のタスクマネージャをProcess Exploreに置き換えることができる。
【Process Explorer for Windows】 http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspx
プロセスの通信状態を表示:TCPView
TCPViewは、プロセスが利用するプロトコルやローカル/リモートのアドレス、使用しているポートとその状態をリアルタイムで表示することができるツールである。
図2 TCPView実行画面通信の状態を表示する以外には、プロセスを選択して右クリックすることで、ファイルパスの表示やプロセスを終了させることもできる。またTCPViewには、tcpvconというコマンドライン版も同梱されている。
【TCPView for Windows】 http://www.microsoft.com/technet/sysinternals/Utilities/TcpView.mspx
リモートシステム管理ツールセット:PsTools
PsToolsは、リモートのシステムを管理するためのコマンド集で、Psを接頭辞とする PsExec、PsFile、PsGetSid、PsInfo、PsKill、PsList、PsLoggedOn、PsLogList、PsPasswd、PsService、PsShutdown、PsSuspendの12種類のツールである。
リモートのWindowsマシンに対してPsToolsのコマンドを使うことで、プロセスの起動(PsExec)・終了(PsKill)や、イベントログの表示(PsLogList)、サービスの管理(PsService)、シャットダウン(PsShutdown)などを実行することができる。
シンボリックリンクを作成:Junction
Junctionは、Windowsでディレクトリのシンボリックリンクを作成・削除するためのツールである。
シンボリックリンクを作成することで、ディレクトリに別の名前を与えることができる。そしてそのシンボリックリンクは、元の本体と同様に扱えるようになる。UNIX系のOSを使い慣れている方ならば、Windowsでもシンボリックリンクを活用したいと思ったことがあるのではないだろうか。
> junction.exe c:\symbolic c:\original Junction v1.04 - Windows junction creator and reparse point viewer Copyright (C) 2000-2005 Mark Russinovich Systems Internals - http://www.sysinternals.com Created: c:\symbolic Targetted at: c:\original
ここで紹介したユーティリティ以外にも、SysinternalsのWebサイトでは、60種類を超えるユーティリティが提供されている。また、Windowsシステムに関する有益な情報も提供されている。システム管理に有用なユーティリティや情報が多数あるので、一度試してみてはいかがだろうか。
新たなリリースやアップデート情報などは「Sysinternals Site Discussion」で詳しいものが提供されている。RSSフィードも提供されているので、利用者はこちらをチェックしておくとよいだろう。参考までにユーティリティ一覧と簡単な説明をまとめているので、 ぜひ使ってみて欲しい。現在、SysinternalsのWebサイトは英語版しかないが、マイクロソフトのWebサイトなのでそのうち日本語版が作成されることに期待したい。
参考:Sysinternals 全ユーティリティ一覧
| ツール名 | 概要 | I/F | |
|---|---|---|---|
| Sysinternals Suite | Sysinternals 全ツールセット | - | |
| AccessChk | ファイルやレジストリ、サービスに対してユーザー/グループが持つアクセス権限のチェック | CUI | |
| AccessEnum | フォルダやファイル、レジストリに対するパーミッション(Read/Write/Deny)のチェック | GUI | |
| AdRestore | Windows Server 2003 ドメインコントローラから削除されたオブジェクトを再び有効にする | CUI | |
| Autologon | 自動ログオンを設定 | GUI | |
| Autoruns | 起動時やログイン時、エクスプローラやIE起動時などに自動実行されるプログラムの閲覧・設定 | GUI/CUI | |
| BgInfo | システム情報やネットワーク設定などを描画した壁紙を作成し設定する | GUI/CUI | |
| BlueScreen | ブルースクリーンと呼ばれるエラー画面を模したスクリーンセイバー | - | |
| CacheSet | キャッシュサイズの上限と下限を調整し設定する | GUI | |
| ClockRes | システムの時刻時計の分解能を表示 | CUI | |
| Contig | コマンドライン版の軽量なデフラグツール | CUI | |
| Ctrl2cap | キーボードのCtrlとCaps Lockを入れ替えるカーネルモードのデバイスドライバ | CUI | |
| DebugView | OutputDebugStringとDbgPringからのデバッグ情報を表示 | GUI | |
| DiskExt | ディスクマッピングを表示 | CUI | |
| Diskmon | 物理ディスクへのアクセスを表示 | GUI | |
| DiskView | ハードディスクの断片化状態や指定したファイルの位置を表示 | GUI | |
| Du | 指定したディレクトリの使用状況を表示 | CUI | |
| EFSDump | EFS (Encrypting File System)で暗号化されたファイル/ディレクトリ情報の表示 | CUI | |
| Filemon | ファイルシステムへのアクセス状況をリアルタイムに表示 | GUI | |
| Handle | 開いているファイルやディレクトリを表示 | CUI | |
| Hex2dec | 10進数/16進数変換の計算機 | CUI | |
| Junction | シンボリックリンクの作成 | CUI | |
| LDMDump | LDM(論理ディスクマネージャ)データベースの内容を表示 | CUI | |
| ListDLLs | 現在利用しているDLLを一覧表示 | CUI | |
| LiveKd | マイクロソフトのカーネルデバッガを使い稼働中のシステムを調査 | CUI | |
| LoadOrder | システムに読み込まれているデバイスドライバを一覧表示 | CUI | |
| LogonSessions | システム上で稼働中のログオンセッションを一覧表示 | CUI | |
| MoveFile | 次回起動時に指定ファイルの移動/削除の実行 | CUI | |
| NewSID | SID(セキュリティ識別子)を任意のものに変更 | GUI | |
| NTFSInfo | NTFSボリュームのサイズやMFT(Master File Table)に関する情報を表示 | CUI | |
| PageDefrag | ページファイルとレジストリハイブのデフラグを実行 | GUI | |
| PendMoves | 次回起動時にリネーム/削除が実行されるファイルの一覧表示 | CUI | |
| Portmon | シリアルとパラレルポートの稼働状況のモニタリングツール | GUI | |
| Process Explorer | 稼働中のプロセスに関して多彩な機能を提供する強力なツール | GUI | |
| Process Monitor | ファイルシステムやレジストリ、プロセスなどの稼働状況のモニタリングツール | GUI | |
| ProcFeatures | プロセッサの情報を表示 | CUI | |
| PsExec | 指定したユーザーでローカル/リモートでプロセスを実行 | CUI | |
| PsFile | リモートから開かれているファイルを表示 | CUI | |
| PsGetSid | 指定したコンピュータ/ユーザーのSIDを表示 | CUI | |
| PsInfo | リモートレジストリAPIにアクセスしてローカル/リモートのシステム情報の表示 | CUI | |
| PsKill | プロセス名/IDを指定してローカル/リモートのプロセスをkill | CUI | |
| PsList | ローカル/リモートのプロセス情報を表示 | CUI | |
| PsLoggedOn | ローカル/リモートのコンピュータにログイン中のユーザーを表示 | CUI | |
| PsLogList | ローカル/リモートのイベントログの内容を表示 | CUI | |
| PsPasswd | ローカル/リモートのユーザーのパスワード変更 | CUI | |
| PsService | ローカル/リモートのサービスの状態の表示と制御 | CUI | |
| PsShutdown | ローカル/リモートのコンピュータのシャットダウンと再起動の実行 | CUI | |
| PsSuspend | ローカル/リモートのプロセスのサスペンドとレジュームの実行 | CUI | |
| PsTools | ツール名が「Ps」で始まる一連のツールセット | CUI | |
| RegDelNull | 通常のレジストリエディタでは消せないキーの削除 | CUI | |
| RegHide | 通常のレジストリエディタでは見えないキーの作成 | CUI | |
| Regjump | レジストリパスを指定してregeditを起動 | CUI | |
| Regmon | レジストリへのアクセスのモニタリングツール | GUI | |
| RootkitRevealer | rootkitベースのマルウェア検出ツール | GUI | |
| SDelete | 米国防総省準拠方式などを使いファイル/ディレクトリなどを消去 | CUI | |
| ShareEnum | ネットワーク内のファイル共有の状況を表示 | GUI | |
| Sigcheck | ファイルのバージョン情報やデジタル署名などを表示 | CUI | |
| Streams | NTFSの代替データストリーム(ADS)を検出 | CUI | |
| Strings | バイナリファイル内のUNICODE/ASCII文字列を表示 | CUI | |
| Sync | ディスクのデータをフラッシュ(UNIXのsyncコマンド風) | CUI | |
| TCPView | プロセスと関連させてTCP/UDPの状態を表示 | GUI/CUI | |
| VolumeID | FAT/NTFSドライブのボリュームラベルを設定 | CUI | |
| Whois | NICの登録情報の表示(whoisコマンド) | CUI | |
| WinObj | オブジェクトマネージャの名前空間の表示 | GUI | |
| ZoomIt | デスクトップ画面の拡大表示と描画ツール | GUI | |
Profile
上野 宣(うえの せん)
株式会社トライコーダ代表取締役
ネットワーク・セキュリティ監査、セキュリティ対策・運用改善コンサルティングを主な業務としている。
情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。個人ブログは「うさぎ文学日記」
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。