トップへ
tdsskiller(rootkit駆除ツール)の使い方について : ネットセキュリティブログ

tdsskiller(rootkit駆除ツール)の使い方について





皆様、こんばんは、約1ヶ月ぶりの更新です。さて今回はルートキット駆除ツールの1つであるtdsskillerの使い方について解説を行っていきたいと思います。

それではまずルートキットとは何かを間単に説明いたします。

rootkit

一般的なルートキットの定義としては、PCにインストールされた他の悪意あるプログラム(マルウェア)を隠匿する働きをするツールを指します。隠匿とは先に述べた悪意あるプログラムの痕跡を消してしまうということですね。このルートキットというものはOSの根幹部分であるカーネルモードという部分にて動作するため、セキュリティソフトにてスキャンを行っても非常に検出が難しいという特性があります。また駆除ツール等にてルートキットを検出したとしても、同様に隠匿されたマルウェアを完全に除去することも困難と言われています。つまりルートキットが検出されたということは、別の隠匿された本体のマルウェアが存在するということですね。

ルートキットの説明は簡単ですが以上です。

さて各セキュリティベンダーでは上記のようなルートキットを検出・除去するツールを開発し、無償にて公開しています。tdsskillerはそれら駆除ツールの一つでカスペルスキーが開発しているものです。インターネット上ではルートキットの検出・除去に定評のあるツールですね。

そこで今回の記事ではこのtdsskillerについて解説を行っていきます。


【広告】


<ads by 忍者ツールズ>



① tdsskillerのダウンロード

まずtdsskillerのダウンロード先は以下となります。

Tdsskiller.zip



上記より最新版をデスクトップに保存してください。なおダウンロードされたファイルは圧縮ファイルとなっていますので保存後は解凍してください。解凍後は以下のアイコンをクリックして起動します。

tssskiller1_convert_20120603052550.jpg


② tdsskillerの起動と使い方


上記画面のアイコンをクリックして起動しますと以下のような画面が表示されます。

tdsskiller

まずは起動画面のchange parametersという項目をクリックしてください。

tdsskiller1

表示された画面より、上記画像のようにDelete TDLFS file systemの項目にチェックを入れ、OKをクリックします。

tdsskiller2.jpg

次に赤枠で囲まれていますstart scanをクリックしてスキャンを行います。スキャンが完了するまでしばらくお待ちください。

スキャン後、何も検出されなければ以下の画面になります。

tdsskiller3.jpg

この場合はcloseをクリックして終了してください。

スキャン時に検出があった場合は以下のような画面が表示されます。

tdsskiller5.jpg

赤枠で囲まれた部分は検出されたファイルに対しての処理方法を現します。Cureは駆除、Deleteは削除を意味します。

駆除とは検出されたファイルについてマルウェアの部分を除去すること、削除は検出されたファイルごと除去することです。

tdsskillerでは検出結果の画面にて処理方法を自動選択してくれますが、次のことに注意してください。まずは上記画面の緑枠を見てください。tdsskillerでは検出された項目について2つのオブジェクトが存在します。

① Malware Object・・・上記の画像に赤字で書かれている明らかにウイルスと判定されるファイル

② Suspicious Object・・・上記画面では書かれていないが黄色字で書かれているウイルスと疑わしきファイル

Malware Objectついて処理方法がCure及びDeleteになっていること、Suspicious Objectについてはskipになっていることを確認してください。もし左記の処理方法でわからない場合はMalware Objectについてはcure、Suspicious Objectについてはskipを選択してください。

処理方法を選択しましたら上記画面のContinueをクリックしてください。処理完了後にPCの再起動を促す画面が表示された場合は再起動してください。

以上がtdsskillerの一連の流れです。なお検出されたファイルについて隔離を行いたい場合は、上記画面のCopy all to quarantineをクリックしますと隔離できます。隔離フォルダ及びスキャンログはCドライブに作成されます。

tdsskiller6.jpg

使い方の説明については以上となります。tdsskillerをお使いになる方は、ご参考になさってください。

それでは今回の記事は以上です。


【6/27 追記】

dokmaiさんよりコメントを頂いておりました。簡単ではありますが加筆したいと思います。

>リネームについて

マルウェアの中には感染時に駆除ツールの起動自体を妨害するものが存在します。特にfake av感染時におけるマルウェアプロセス停止ツールであるrkillの起動妨害は多いですね。

tdsskillerについても起動を妨害されることがあります。

さて上記のような起動妨害を回避する手段の一つとしてリネームという方法があります。

リネームとはその名の通りプログラムの名称を変更することですね。tdsskillerを例にとりますと…、

tssskiller1_convert_20120603052550.jpg

画像の赤枠をご覧ください。赤枠内がtdsskillerのプログラム本体となります。正確なプログラム名称を書きますと…

tdsskiller.exe



上記のようになります。リネームでは上記のtdsskilierの部分を好きな名前に変更するということです。なお上記のexeの部分は拡張子となり、windowsのシステム設定により通常は表示されません。

実際のリネーム方法は変更したいプログラムにマウスを持ってきて右クリックし、表示された画面より名前の変更を選択すると行うことが出来ます。

以下は実際にリネームする際に用いた1例です。

http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1284161397

BAのcraraさんのご回答をご参考にしてください。以下引用です。

これらは正規システムファイルと同名ですが、
後程解析ツールを使用することになった場合に、
OS正規ファイルと区別するため”大小文字”を織り交ぜています。
exploreR.exe
lsasS.exe
serviceS.exe
svchosT.exe
winlogoN.exe

************************************************

このようにプログラムの名称を変更してから起動を試してください。

それでは以上です。

【2013年8月23日 一部改定】

関連記事

----------------------------------------------------------------------------------------------


<セキュリティソフトの導入と脆弱性対策について>




<Windowsに関連する記事を投稿中!>


 



【広告】

<ads by 忍者ツールズ>


この記事へのコメント

TDSSKiller - DOKMAI - 2012年06月14日 20:25:07

ミルク皇子、こんばんは。

TDSSKillerですが、起動を邪魔される場合のリネームの方法を追記されてはいかがですか?

TDSSKiller - milksizegene - 2012年06月27日 22:51:22

dokmaiさん、コメントありがとうございました。投稿が遅くなりましたことお詫びいたします。また先日は掲示板の方でご返信、本当に感謝しています。

またご指摘をよろしくお願いいたします。

トラックバック

URL :



<過去記事一覧>



test



<相互リンクRSS>


Blog 検索フォーム


最新記事の一覧
カテゴリ
月別アーカイブ
人気記事の一覧

当ブログの閲覧数の多い記事をランキング化しています


お勧めセキュリティソフト情報

当ブログ管理人がお勧めするセキュリティソフト情報です。インターネットを行うためには、セキュリティソフトのみならず、総合的なセキュリティ対策が必要なります。 ご興味がある方は、以下のBitdefender ロゴをクリックしてください!


お勧めセキュリティソフト情報
お勧めPCパーツ情報

当ブログ管理人がお勧めするPCパーツ情報です。PC自作を考えている方及びPCパーツの購入を考えている方にはお勧めです!ご興味がある方は、以下のIntel ロゴをクリックしてください!


お勧めPCパーツ情報
相互リンク
Special Thanks
最新コメント
ブログランキング
にほんブログ村 PC家電ブログへ ブログランキングならblogram PVランキング Site Ranking Theページビューランキング
ブログランキング②
管理人の自己紹介


当ブログへお問い合わせ


アクセスカウンター