不審な Windows アクティビティを検出するための Sysinternals ツール トップ 5

2026 年 1 月 29 日、午前 8 時東部標準時間に公開

Oluwademilade は、5 年以上の執筆経験を持つテクノロジー愛好家です。彼は 2022 年に MUO チームに加わり、コンシューマー テクノロジー、iOS、Android、人工知能、ハードウェア、ソフトウェア、サイバーセキュリティなど、さまざまなトピックをカバーしています。 MUO での執筆に加えて、彼の作品は HowtoGeek、Cryptoknowmics、TechNerdiness、SlashGear にも掲載されています。

オルワデミラデさんはナイジェリアのイバダン大学に通い、医学部で医学の学位を取得しました。公務に優れたオルワデミラデさんは、国連と提携する学生団体からグローバル・アクション・アンバサダーの称号を授与されました。彼は、2020年に世界にプラスの影響を与えるための努力が認められ、マレーシアのクアラルンプールでこの称号を受け取りました。
 

Oluwademilade は、余暇には、新しい AI アプリや機能をテストしたり、家族や友人の技術的な問題のトラブルシューティングをしたり、新しいコーディング言語を学習したり、可能な限り新しい場所に旅行したりすることを楽しんでいます。

私たちはマルウェアを大きな劇的な瞬間としてイメージする傾向があります。ランサムウェアの警告が画面いっぱいに飛び散りました。突然の無礼なブルー スクリーン。現実の世界では、本当に危険なものは、もっと幽霊的なものです。それは、暗号通貨をマイニングするために CPU を消費する怪しいプロセスであり、見たことのない IP アドレスに電話をかける「便利な」小さなアプリであり、再起動するたびに自動的に再インストールされる頑固なスクリプトです。

Windows タスク マネージャーだけでこの種の動作を明らかにすることはほとんどありません。何か調子が悪いと感じたとき、または単にシステム全体の状態を監査しているときは、Windows Sysinternals Suite に手を伸ばします。現在 Microsoft の最高技術責任者 (CTO) および Azure のテクニカル フェローである Mark Russinovich によって構築されたこれらのツールは、詳細なシステム検査のゴールド スタンダードとして広く認められています。軽量でポータブル、そして正確です。

システム上の異常を追跡するために私が個人的に使用している 5 つの Sysinternals ツールを紹介します。

Sysinternals スイート

OS 窓

開発者 マーク・ルシノビッチ

価格モデル 無料

Sysinternals Suite を使用すると、プロのように Windows を調べてトラブルシューティングを行うことができます。プロセス、セキュリティ、システム パフォーマンスを監視するための高度なツールが組み込まれています。

プロセス エクスプローラー

タスク マネージャーの賢くて怖い兄貴

タスク マネージャーが鈍いバター ナイフだとすると、プロセス エクスプローラーはメスです。システムが足を引きずったり、奇妙な動作をし始めたときに、私が最初に開くのはこれです。一見するとタスクマネージャーに似ていますが、掘り下げてみると奥深さが別次元です。これほど、実行中のプロセスの完全な系図を表示できるものは他にありません。

私はプロセス偽者を捕まえるために Process Explorer を頼りにしています。マルウェアは、svchost.exe や chrome.exe など、退屈で信頼できるものに扮するのが大好きで、ウイルスが隠れている可能性のある重要な Windows プロセスをあまり注意深く見ないよう願っています。 Process Explorer はそれに該当しません。誰が何を「産んだ」のかがわかります。 services.exe ではなく、explorer.exe から来た svchost.exe を見つけたら、すぐに眉が上がります。それは通常、無駄な特典です。

私のお気に入りの機能は、組み込みの VirusTotal チェックです。推測ゲームをする必要はありません。 [オプション] メニューで簡単に切り替えると、Process Explorer は実行中のすべての実行可能ファイルのハッシュを VirusTotal と照合してチェックし、単純な検出スコアをプロセス リストに直接追加します。数十のうちのきれいな 0 は安心です。それ以外のものは、私の「これはここで何をしているのですか？」の一番上にジャンプします。リスト。

TCPビュー

暗闇の中でコンピュータが誰にささやいているかを確認します

最近では、マルウェアはインターネット接続がなければほとんど役に立ちません。指示を待っている RAT であっても、パスワードを送信するキーロガーであっても、ある時点で自宅に電話する必要があります。だからこそ、私が現場での裏の会話をキャッチしたいときに TCPView を利用するツールなのです。

netstat コマンドのようなコマンド ライン テキストの壁の代わりに、TCPView はリアルタイムで更新されるクリーンな生きたリストにすべてをレイアウトします。実際に接続が現れたり消えたりする様子を観察できます。私は、そもそもオンラインにする必要のないプログラムに注目しています。メモ帳や電卓のようなものがランダムな IP への「確立済み」リンクとともにそこに置かれているのを見ると、私の直感はすぐに何かが間違っていると判断します。

私の通常の方法は、[状態] 列で並べ替えて、すべてのアクティブな接続が先頭に表示されるようにすることです。これは、開いている TCP/IP ポートを確認する最も速い方法です。次に、奇妙なポートのトラフィックや、適切な名前やアイコンをわざわざ表示しないプロセスなど、奇妙なものをスキャンします。すばやく右クリックすると、Whois ルックアップで IP の所有者がわかります。それが地球の裏側、私が決して関わったことのない場所にあるクラウド サーバーを指していたとしても、私は考えすぎません。接続をシャットダウンしました。

自動実行

ブート シーケンスに取り憑く幽霊を追い出す

永続性はマルウェアの個性そのものです。その背後にいる人々は、ユーザーが遅かれ早かれ再起動することを知っているので、システムがオンラインに戻った瞬間にコードが再表示されるように、スクリプトと実行可能ファイルを起動場所に植え付けます。 Windows にはこれらのエントリ ポイントが数十あり、タスク マネージャーの [スタートアップ] タブにはそれらのほんの一部しか表示されません。

関連

この無料ツールは、Windows の起動を遅らせている原因を正確に特定します

起動時間を泥沼の中で引きずっている原因について、率直かつ感情的にならずに考察します

それが、私が Autoruns に頼っている理由です。いい意味でおせっかいです。レジストリ、タスク スケジューラ、WMI、そしておそらく Windows にあることさえ知らなかった多くのあいまいなコーナーを一掃します。ようやくリストが固まると、私の目はピンク色でハイライトされたものに真っ直ぐに行きます。その色はコードが署名されていないことを意味し、危険信号です。正常なシステムでは、安全に無効にできるスタートアップ プログラムの大部分は、Microsoft または Adobe や Google などの有名な名前によってデジタル署名されているはずです。

ノイズに溺れないように、私はいつもお気に入りのフィルターをオンにしています。 オプション内 -> スキャン オプション 、コード署名の検証を有効にします。 そして Microsoft エントリを非表示にします。これにより、何千もの正規の Windows コンポーネントが削除され、サードパーティ ソフトウェアの簡潔なリストが残ります。ピンク色の署名されていないエントリが一時パスに存在するファイルを指している場合 (AppData\Local\Temp など) — これはほとんどの場合、マルウェアが永続性を維持しようとしていることを示す強力な指標です。

プロセス モニター (ProcMon)

消防ホースから水を飲んで針を探す

死んだままではいられない本当にステルスな感染症に対処しているとき、私は礼儀正しくすることをやめて、プロセス モニターに手を伸ばします。こちらは重砲です。ファイル システム、レジストリ、実行中のプロセス全体にわたるリアルタイムのアクティビティを記録し、システムが内部で実際に何を行っているかを詳細に把握できます。

ただし、注意してください:ProcMon はノイズが多いです。たとえば、数秒間に数十万のイベントが発生し、ノイズが発生します。気軽に閲覧するのには使いません。私はこれを使用して、「この大ざっぱなレジストリ キーを削除するたびに再作成している正確なファイルは何ですか?」など、非常に具体的でほとんど些細な質問に答えることができます。

私の小さな「暗殺者」ルーティンは、キャプチャを一時停止することから始まります (Ctrl + E) ) ツールが起動するとすぐに、初期のデータフラッドを停止します。次に、ツールバーからターゲット アイコンを選択し、疑わしいウィンドウまたはエラー メッセージにドラッグします。 Process Monitor はイベント ログを自動的にフィルタリングして、そのプロセスに関連するアクティビティのみを表示します。そこから、どのファイルにアクセスしているのか、設定データをどこに保管しようとしているのかを正確に追跡できます。

Sysmon (システム モニター)

真夜中のマルウェアに対する遡及的正義

上で説明した最初の 4 つのツールは、実際に物事を捉えるのに最適ですが、見ていないときにのみ発生するものについてはどうでしょうか?マルウェアはコンテキストを認識することが多く、ユーザーのアクティビティを検出するとすぐに沈黙するように設計されています。

そこがシスモンの収入源です。バックグラウンドで実行され、表示されたすべての情報が Windows イベント ログに書き込まれます。長期的に注目したいマシンに装着しました。 Windows の組み込み監査と比較して、Sysmon は非常に詳細な機能を備えています。ロードされるすべてのプログラム、起動されるすべてのネットワーク接続、作成されるすべてのプロセスのハッシュを記録します。

私が最も頼りにしている機能は、プロセスの作成をログに記録するイベント ID 1 です。それは一種のデジタルペーパーの痕跡を私に与えます。したがって、目が覚めてデスクトップに謎のファイルがあったとしても、夜を巻き戻して、何が原因で、いつ発生し、どのコマンドラインが使用されたかを正確に確認できます。

推測をやめて狩りを始めましょう

これら 5 つの Sysinternals ツールを使用すると、Windows PC のセキュリティをより適切に制御できるようになりました。これらは、標準のウイルス対策ソフトウェアが見落とすことがある問題を見つけて修正するのに役立ちました。最も良い点は、これらのユーティリティがすべて無料でポータブルであることです。これらは任意の Windows マシン上で実行できます (また、Microsoft は最新の OS バージョンで最新の状態に保ちます)。テクノロジーに精通している、または興味のあるユーザーであれば、ぜひ試してみることをお勧めします。不審な動作を早期に発見する能力が強化されるだけでなく、Windows が内部でどのように動作するかについて多くのことを学ぶことができます。

私の経験では、Sysinternals ツールを少し直接使って調べることは、PC に何か「違和感」があるときにシステムをクリーンに保ち、心を落ち着かせるのに大いに役立ちます。狩猟を楽しんでください!