ファイルをエクスプローラーなどでダブルクリックすると、プログラムが実行されたり、関連付けされたアプリが起動したりする。出所や正体が不明なファイルは、その前に「メモ帳」アプリ(notepad.exe)で開いて内部の文字列を確認し、どのようなファイルなのか調べてみよう。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
対象OS:Windows 10/Windows 11
メール添付あるいはUSBメモリなどで受け取ったファイルが何だかよく分からず、安全にそのファイルの正体を調べたい、と思ったことはないだろうか?
「エクスプローラーでダブルクリックすればいい」というのは、出所が明らかでウイルス感染などの危険がないファイルに限られる。出所不明なファイルの場合は、いきなり実行したり関連付けられたアプリで開いたりするのではなく、少なくとも事前にその内容を確認して正体を明らかにしたいところだ。
では、ファイルの内容をどうやって確認すればよいのだろうか? 一つの手段として、いわゆる「バイナリエディタ」という、ファイルの内容を16進数形式で表示(ダンプ)、編集するソフトウェアツールを利用する方法がある。しかしバイナリエディタはWindows OSに標準装備されていない。
次善の策としては、通常の「メモ帳」アプリ(notepad.exe)を使ってファイルの内容を確認するという方法がある。まったく完璧とはいえないものの、「メモ帳」アプリはどのWindows OSにも用意されているので、正体不明のファイルの内容をざっと確認するには、これが簡単だ。
この方法で、危険な実行ファイルなのか(バイナリだけでなく、判読可能なスクリプトコードの場合もある)、それとも単なるテキストやHTML形式のメール本文なのか、圧縮されたアーカイブファイルなのか、などをおおまかに確認できる。本Tech TIPSでは、その具体的な手順と注意点を説明する。
「メモ帳」アプリを使って(バイナリ形式の)ファイルを開くには、まず「メモ帳」アプリを起動しておき、次に、当該ファイルのアイコンを「メモ帳」アプリ上にドラッグ&ドロップするだけでよい。
エクスプローラーやデスクトップ上にあるファイルアイコンをダブルクリックすると、通常はそのファイルの拡張子に関連付けされているアプリケーションが自動的に起動する。このとき、ファイルが実行可能ファイルだと、いきなり実行されるので、出所の不明なファイルの場合は非常に危険である。
これに対して「メモ帳」アプリでは、そのような特別な解釈(ファイルタイプなどに基づいた関連アプリケーションの起動など)は行わず、そのまま直接オープンするので(実行されないので)、内容を確認できる。
もちろん(テキストデータではなく)バイナリファイルを開くと、正しく表示できずに、いわゆる「文字化け」だらけの状態になる。それでも、文字として表示されている部分だけに注目すれば、その内容を手がかりとして実体を類推しやすくなる。
ファイルサイズが大きいファイルを開こうとすると時間が掛かるので注意が必要だ。数百KBのファイルでも数十秒、数十MBだと分単位で待たされることも少なくない。
「メモ帳」アプリでバイナリファイルを表示させると、ほとんどの部分が文字化けして表示される。だが、いくらかは文字列がそのまま表示されるので、それを手掛かりにして内容を調査するとよい。
バイナリファイルを開くと先頭に「MZ」という2文字が見えることがある(上の画面参照)。これはWindows OSにおける各種の実行ファイル(「.EXE」だけでなく、「.DLL」や「.SCR」といったファイルでも同じ)を表している。うかつにダブルクリックすると自動的に実行されてしまうので、注意すること。メールの添付ファイルになっている場合は、絶対にクリックしないようにすること。
また先頭が「PK」のものは、(ほとんどの場合は).ZIP圧縮ファイルなので、これも注意が必要だ。解凍と同時に実行するように設定されている場合があるので、心当たりがなければ、ダブルクリックしないようにしよう(代わりにアーカイバなどのアプリで開く)。
なお「メモ帳」アプリで表示させる場合は、[書式]メニューの[右端で折り返す]または[表示]メニューの[右端での折返し]にチェックを入れて「オン」にしておくと、内容が確認しやすくなる。
以下、参考までに幾つかのバイナリファイルを「メモ帳」アプリで開いたときのスクリーンショットを記す。
Copyright© Digital Advantage Corp. All Rights Reserved.