Antimalware Scan Interface (AMSI)でメモリ領域やモジュールをスキャン(新型32ビット版「UsaMimi32.exe」および64ビット版「UsaMimi64.exe」用)
Antimalware Scan Interface (AMSI)でメモリ領域やモジュールをスキャンの概要と基本操作
●概要と注意事項| Antimalware Scan Interface
(AMSI)は、PCに導入されているマルウェア対策ソフトウェアが行うスキャンを、一般的なアプリケーションやスクリプトなどから実行可能にする仕組みです。当機能は、このAMSIを使って、プロセスメモリ上の任意の領域や、対象プロセスで使用されるモジュールあるいは実行ファイルをスキャンします。 この機能はWindows 10以降で使用可能ですが、AMSIのスキャンに係る仕様変更が行われたため、Windows 11以降での使用をお勧めします。 AMSIでのスキャンは、必ずマルウェアを検出できる訳ではないことに留意してください。 マルウェアによっては、AMSIでのスキャンを回避するものもあります。この回避方法は何種類もあり、当機能が回避される可能性もあります。回避方法の一つである、スキャン用API関数であるAmsiScanBuffer関数のエントリを書き換えるケースに対処するため、同関数のエントリ以降のバイト列を表示し目視で異常を確認可能にしています。一般的に、関数の無効化を目的とする関数エントリの書き換えが行われた場合は、関数エントリ近辺にリターン命令(x86/x64でC3)が現れるケースが多いといえます。また、スキャンを行うプロセスに、スキャン機能を無効化した不正なAMSI関連DLLを読み込ませる回避方法もあるため、当ソフトウェアのインストールフォルダに本来ありえないAMSI関連DLLが存在した場合は、警告して処理を中断します。 当ソフトウェア『うさみみハリケーン』の現バージョンは、日本語版のみ公開で海外のマルウェア作者等には知られていないため、『うさみみハリケーン』のプロセス名を検索といった、ソフトウェアベースの解析対策をされる可能性は低いという利点があります。 |
●参考スクリーンショット
 |
●基本的な操作の流れ
| ■スキャン対象の設定とスキャン実行 まず、スキャンのカテゴリを「メモリ領域」、「モジュール」および「実行ファイル」から選択し、さらに該当リスト上での選択でスキャン対象を指定します。それから「選択スキャン対象をAMSIでスキャン実行」ボタンです。メモリ領域内の任意のアドレス以降をスキャン対象に指定できるように、選択メモリ領域内でスキャン対象先頭アドレスを指定できるようにしています。モジュール一覧などに何らかの変化が生じたと考えられる場合は、事前に「メモリ領域・モジュール一覧更新」ボタンでリストを更新してみてください。 ■スキャン対象の情報をコピー メモリ領域のリストでは、任意の項目を右クリックすると、アドレス文字列をクリップボードにコピーします。同様に、モジュールのリストで任意の項目を右クリックすると、モジュール名をクリップボードにコピーします。また、モジュールのリストで任意の項目を右ダブルクリックすると、実行ファイルのパスをクリップボードにコピーします。 ■AmsiScanBuffer関数のエントリを確認 AMSIでのスキャンの回避を目的として、AmsiScanBuffer関数のエントリが書き換えられたことを、エントリ近辺におけるリターン命令(x86/x64でC3)の存在で確認します。なお、表示される文字列化したバイト列を基に逆アセンブル結果を得たいならば、当ソフトウェア同梱のx86/x64 簡易アセンブラ・逆アセンブラ「ロケットねこみみ」の64ビット版(NekoAsm64.exe)を使用してください。 ■選択メモリ領域・モジュールをダンプ 「選択メモリ領域・モジュールをダンプ」ボタンで、選択カテゴリのリスト上で選択されたメモリ領域あるいは、選択されたモジュールをプロセスメモリ上からファイルにダンプします。この際、「ダンプしたモジュールのセクションを再構築する」チェックボックスが有効ならば、ダンプしたモジュールを再構築して、各種の実行ファイル解析ツールから解析しやすくします。 ■対象プロセスを実行停止/再開 必要に応じて、スキャンの前後といった任意のタイミングで、対象プロセスの実行を停止および再開できるようにしています。「対象プロセスを実行停止/再開」チェックボックスでチェックをすれば停止、チェックを外せば再開です。 ■YARAルールでスキャン用ダイアログを表示 「YARAルールでスキャン用ダイアログを表示」ボタンで、当機能と親和性がある、YARAルールを用いたスキャン機能の画面を呼び出します。 ■マルウェア対策 当ソフトウェアのメニュー「編集」→「オプション」にある「その他の設定」タブで、「マルウェア対策としてウィンドウタイトル/クラス名を変更(実行ファイル名の変更も推奨)」を有効にしておけば、当ダイアログのウィンドウタイトルをランダムな文字列に変更します。 |