ルートキット対策 - 第一弾(コラ!誰のレジストリに居座ってん?)

5728-24.jpg
ルートキット対策
第一弾:レジストリフレンドリー

長く使えば使うほど、ソフトウェアを試せば試すほどレジストリの肥大化は避けられません。
ちょっとした変化を見逃さないためにも日頃からレジストリと慣れ親しんでおくことが大事。
ここではいくつかのツールを使用して押さえておくべき基本的なエントリーを例に日頃私が行っているメンテナンス方法をご紹介いたします。
また先日、新たに発見したルートキットといわないまでも、否、悪意の有無に関わらず全く無意味でヌルいヌル・キー(Null Key) の削除方法も加えてご紹介いたします。
これはレジストリエディタでは削除できない!という不健全で不謹慎なキーの削除方法としても効果を発揮します。是非お試しいただければと思います。

[ 用意するツール ]
・レジストリエディタ
 Windows 付属(ファイル名を指定して実行ダイアログで regedit と入力してでてくるもの)のもので十分ですが、拡張されたレグエディタ Textexさんの俺RegEdit改がお勧めです。
Regdellnull

[ 慣れ親しむべきエントリー ]
レジストリの構造説明などは割愛させていただきますが、できればビギナーズ レジストリ大全様などの解説をご参照いただければベターです。
HKEY_CURRENT_USER\Software
HKEY_LOCAL_MACHINE\SOFTWARE
・HKEY_USERS\.DEFAULT\Software (ワームなどが稀に書き込む場合あるため)
HKEY_USERS\S-1-5-21-任意のSID\Software (基本的には上記 HKEY_CURRENT_USER のミラーですが、ごく稀にコチラにのみ書き込む場合あり)

[ 不要なキーの確認 ]
インストーラの有無に関わらずソフトウェアを試す場合、作成者または作成会社の名前を確認しておくのがベター。
アンインストールした際にレジストリキーまでクリーンにしてくれるソフトウェアって実はかなり希少なのが現状、ましてや当サイトで紹介しているような英語版ソフトに至ってはパスの取得問題などでより顕著になってきます。
通常 Software セクションにはプログラム名での登録と作成者(会社)名で登録するのが基本なのでふまえておきたい。

[ RegDelNull で削除する ]
前回紹介させていただいた S 社製品で用いられた Zepter Software に加え、今回発見したのは PDF の DRM (デジタル ライツ マネージメント)を管理するプログラム。著作を守る独自のアルゴリズムを使用しているだけに悪意の有無を問うことはやはりナンセンスだがアンインストールしても自らの存在を主張し続ける行動(手動で削除できないキーを作成)はナンセンスだ!

ソフトをアンインストール後 HKLM Software を見ると未だキーが会社名で残っているのが確認できる。これは下図の様に通常通りには削除できない。

5728-27.jpg


続いて秀逸なフリークリーナー CCleaner で確認、検知はするが削除を試みても実際に削除することができない。

5728-23.jpg


こうなるとエンベッデド・ヌル・クラッパ Regdellnull の仕事。ダウンロードしたら(コマンドプロンプトになれない方のためにも) C:\ など呼び出しやすい場所に解凍する。
C:\ つまり C ドライブ直下に解凍すると RegDelNull.exe のパスは C:\Regdellnull\RegDelNull.exe となる。これを頭に入れておきましょう。

続いて Dos 窓(コマンドプロンプト)を呼び出す。通常はスタートメニュー→すべてのプログラム→アクセサリから呼び出すことができます。

Dos 窓は起動時ログオンユーザーのドキュメントパスから開始されるため次のコマンドを入力して先ほど頭に入れた RegDelNull.exe の解凍場所に移動します。
C:\Documents and Settings\ログオンユーザー名 >cd C:\Regdellnull
と入力し移動します。下図のようになれば OK です。

5728-28.jpg


問題のキーは HKLM に存在するので C:\Regdellnull>regdelnull.exe hklm -s と打ち込みエンター。自動的に Null キーをスキャンして削除しても良いか確認を求めてきます。良ければ y を入力して削除します。

5728-25.jpg


今回は HKLM をスキャンしましたが定期的に冒頭で説明したセクションを指定してメンテナンスを行っておきましょう。
推奨セクションは HKEY_LOCAL_MACHINE(hklm)、HKEY_CURRENT_USER(hkcu)、 HKEY_USERS(hku)の3つで HKCU ならば
C:\Regdellnull>regdelnull.exe hkcu -s
でスキャンします。

毎回申し上げることですがレジストリの操作は慎重に自己責任にてお願い申し上げます。
例にて使用させていただいた企業名を特定中傷する限りではありません!!

コメント

  • だい

    [this is good]