カーネル研究者謹製のマルウェア監視ユーティリティ、MSがリリース

レジストリとプロセススレッドをリアルタイムに監視する新たなユーティリティをMicrosoftが公開した。

[Ryan Naraine，eWEEK]

　Microsoftは2006年7月にマーク・ルシノビッチ氏が勤めていたWinternals Softwareを買収したのに続き、人気の高い「Regmon」および「Filemon」ユーティリティをリプレースするものとして、レジストリとプロセススレッドアクティビティをリアルタイムでモニターする高度な機能を備えた単一のツールをリリースした。

　「Process Monitor」と呼ばれる新ユーティリティのリリースと同時に、SysinternalsポータルがMicrosoft TechNet上で「Windows Sysinternals TechCenter」という名前で新たに立ち上げられた。

　プラットフォーム／サービス部門の技術フェローとしてMicrosoftに入社したWindowsカーネルの研究者として名高いルシノビッチ氏は、Process Monitorについて、「RegmonとFilemonに筋肉増強剤を注射したという表現がふさわしい新しい強力なモニタリングツールだ」と説明している。

　RegmonとFilemonは、ウイルスに感染したOSに対する変更をリアルタイムで確認するためのファイル／レジストリモニタリングツールで、ウイルスやスパイウェアの研究者の間で非常に人気が高い。

　スクラッチから書き直された新しいProcess Monitorには、「Process Explorer」と呼ばれる3番目のユーティリティが含まれ、同一のインタフェースからこれを利用することができる。

　Microsoftによると、Process Monitorでは多数の機能強化が施されたという。主な機能強化点は、充実した非破壊型フィルタリング、包括的なイベント優先付け（セッションID、ユーザー名など）、信頼性の高いプロセス情報、各オペレーションに対してシンボルを統合サポートしたフルスレッドスタック、ファイルへの同時ロギングなどがある。

　「これらの強力な機能を搭載したProcess Monitorは、システムのトラブルシューティングやマルウェア監視用のツールキットで中核的なユーティリティになるだろう」と同社は述べている。

　Process Monitorは無償でダウンロードでき、Windows 2000 SP4（Update Rollup 1を適用したもの）、Windows XP SP2、Windows Server 2003、Windows Vistaのほか、Windows XP、Windows Server 2003およびWindows Vistaの各64ビット版に対応する。

　Process Monitorは、プロセスおよびスレッドの開始と終了（終了ステータスコードを含む）を把握したり、イメージ（DLLおよびカーネルモードのデバイスドライバ）の読み込みをモニターしたりするのに利用することができる。オペレーション入力／出力パラメータのデータを取得する機能や、各オペレーションのスレッドスタックを取得してオペレーションの原因を特定する機能も備える。

　またMicrosoftは、「Sysinternals Suite」のリリースも発表した。これは、Sysinternalsツール／ユーティリティがすべて含まれる単一のダウンロードパッケージである。

　MicrosoftはWinternals Softwareの買収完了後、Sysinternalsのコンテンツおよびツールを自社のWebサイトに移行した。SONY BMGがコピー防止システムでrootkitを使用したことを暴露したルシノビッチ氏のブログは、MicrosoftのTechNetサイトに移され、Sysinternalsの無償ユーティリティもMicrosoft Downloadサイトに移動した（関連記事）。

　しかし、これらのツールのソースコードの移行は行われない。MicrosoftのWindowsサーバ／ツール部門のプログラムマネジャー、オットー・ヘルウェグ氏は、「ソースコードのダウンロードの数は、移行やサポート、また将来的にほかのWindowsコンポーネントとともに統合の問題を引き起こす可能性を正当化するものではないと判断した」と話している。

原文へのリンク