ETW (Event Tracing for Windows) で挙動解析　（新型32ビット版「UsaMimi32.exe」および64ビット版「UsaMimi64.exe」用）

ETW (Event Tracing for Windows) で挙動解析　目次

概要・基本操作
●概要
●参考スクリーンショット
●基本的な操作の流れ
●注意事項

概要・基本操作

●概要

この機能は、ETW (Event Tracing for Windows) というWindowsに実装されている仕組みを使って、解析対象プロセスの挙動を解析するものです。

ETWは、Windowsシステム上で発生したイベントを記録し、その記録内容すなわち挙動の痕跡を調べるための機能です。この「イベント」とは、プロセスやスレッドの開始、モジュールのロード、ファイルやレジストリの操作、ネットワークでの送受信など、実行された多種多様な処理を指します。

ETWを使って、マルウェア等の不審なプロセスを監視し、異常なファイル操作やネットワーク接続といった挙動を記録することで、セキュリティインシデントの解析に役立ちます。また、ソフトウェア開発におけるデバッグ補助にも有用です。他にも、コンピュータセキュリティ技術を競うセキュリティコンテストであるCTF(Capture The Flag)で活用といった、色々な用途が想定されます。

ETWは、発生したイベントの情報をファイルに記録するモードと、発生したイベントの情報をリアルタイムに取得できるモードがあり、当機能は後者のモードを実装しています。

当機能の推奨実行環境はWindows 10以降です。Windows 7/8は、ETWの仕様により一部のイベントが取得不能となるため非推奨です。

当機能を使用するには、当ソフトウェア「うさみみハリケーン」を管理者権限で起動させておく必要があります。

当機能では、基本的にイベントは解析対象プロセスの各種処理に伴い発生するものを表示します。ただし、NetworkProfileイベントはシステム単位で取得されたものを表示します。また、挙動の解析に役立つとみられるイベントのみ取得・表示します。

うさみみハリケーンには、プロセスモニター「猫原喜雨」さんを同梱していますので、必要に応じて併用することをお勧めします。猫原喜雨さんは、全プロセスを対象としており、また、当機能とは異なるETWプロバイダ（イベント情報の提供役）でイベントを取得するため、当機能で取得できないイベントを取得可能です。

当機能で用いるETWプロバイダでは、解析対象側が特殊なプロセス起動方法を使うと、プロセス起動イベントを取得できなくなります。また当機能で用いるETWプロバイダの仕様上、UWPアプリのプロセス起動イベントは取得できません。ただし、猫原喜雨さんはどちらのケースでもプロセス起動イベントを取得可能です。

当機能はシステム上で1つしか実行できません。つまり、うさみみハリケーンを複数起動して、各うさみみハリケーンでの当機能を同時に使用することはできません。

得られたイベントの詳細情報は、それを基にYARAルールなどを作成することで、特定解析対象に関する各種解析および情報共有への活用が可能です。

●参考スクリーンショット

●基本的な操作の流れ

■イベント取得対象カテゴリの選択
「プロセス」や「スレッド」などの、イベント取得対象カテゴリをチェックボックスで指定します。チェックによる指定と解除は任意のタイミングで行うことができます。

■イベントトレース開始・中断
「イベントトレース開始」ボタンでイベントの取得を開始します。「一時中断」チェックボックスでイベントの取得を一時中断することもできます。

■イベント取得結果リストの操作
「ログをクリア」ボタンでリストをリセットします。当機能では、リストに表示可能な項目を80万件に設定しています。解析したい挙動にタイミングを合わせてイベントを取得すれば、たいていこの件数で足りると考えられますが、必要に応じて、「一時中断」や「ログをクリア」を活用して、不要なイベントの取得を回避してください。

「横幅調整」ボタンで、リストでの項目表示幅をリスト内の最長文字列に合わせて変更します。なお、当ダイアログは、ダイアログ右下にあるサイズグリップを使ってサイズを変更可能であり、リストのサイズも合わせて変更されます。

「全内容保存」ボタンで、リストの全内容をテキストファイルとして保存します。

リスト上で項目の右クリックにより、項目文字列をクリップボードにコピーします。

■検索
検索対象文字列として入力された文字列を、リスト上の現在の選択項目から上あるいは下にある項目の文字列内で検索します。検索中はイベントトレースを一時中断します。なお、検索対象文字列は大文字小文字を区別しますので注意が必要です。

■その他の操作
「最前面表示」チェックボックスで当ダイアログの最前面表示と解除を行います。

「プロセス一時停止」チェックボックスで、解析対象プロセスの実行一時停止と実行再開を行います。

「猫原喜雨さんを起こす」ボタンで、挙動解析用プロセスモニター「猫原喜雨」さんを起動します。

■マルウェア対策
当ソフトウェアのメニュー「編集」→「オプション」にある「その他の設定」タブで、「マルウェア対策としてウィンドウタイトル/クラス名を変更（実行ファイル名の変更も推奨）」を有効にしておけば、当ダイアログのウィンドウタイトルをランダムな文字列に変更します。

●注意事項

当機能は、各種セキュリティソフトの影響により使用不能になる可能性があります。

ETWはこれまでに何度も仕様が変更されており、今後の仕様変更で当機能が正常に動作しなくなる可能性もあります。