YARAルールでスキャン(新型32ビット版「UsaMimi32.exe」および64ビット版「UsaMimi64.exe」用)
概要・基本操作・注意事項
| YARAルールの詳細については、解説「YARAについて」を参照してください。 ●概要 プロセスメモリのバイナリデータに対して、YARAルールを用いたスキャンを行います。うさみみハリケーンの新型32ビット版「UsaMimi32.exe」は、YARAルールを用いた32ビットプロセスのプロセスメモリのスキャンに対応しています。また、うさみみハリケーンの64ビット版「UsaMimi64.exe」は、YARAルールを用いた64ビットプロセスのプロセスメモリのスキャンに対応しています。さらに「UsaMimi64.exe」では、実行中の全ての32ビットおよび64ビットプロセスを一括してスキャンすることも可能です。スキャン対象には、対象プロセスのプロセスメモリだけではなく、「対象プロセスが使用する全ての実行可能ファイル」を指定することもできます。 うさみみハリケーンの旧来の32ビット版「UsaMimi.exe」では、使用するコンパイラの制約により、YARAルールを用いた32ビットプロセスのプロセスメモリのスキャン機能が実装できません。 ちなみに、同梱の汎用ファイルアナライザ「青い空を見上げればいつもそこに白い猫」(AoZoraSiroNeko.exe)には、YARAルールを用いたファイルのスキャン機能を実装しています。 ●基本操作 基本的な操作の流れとしては、「スキャン対象」および「スキャン設定」を指定してから、「スキャン開始」ボタンを押し下げます。 YARAルールを用いたスキャン機能の詳細については、上記「青い空を見上げればいつもそこに白い猫」の解説[YARAルールでスキャン]欄を参照願います。 このプロセスメモリを対象とするYARAルールを用いたスキャン機能では、全てのプロセスのプロセスメモリに対して一括でスキャンするオプションを用意しました。この場合は、「全てのプロセスを一括スキャン」チェックボックスにチェックを入れてからスキャンします。なお、64ビット版「UsaMimi64.exe」からは32ビットおよび64ビットのプロセス両方のプロセスメモリをスキャンできますが、32ビット版「UsaMimi32.exe」からは32ビットのプロセスのプロセスメモリしかスキャンできません。また、当ソフトウェアが管理者権限で起動されていないならば、管理者権限のプロセスのプロセスメモリはスキャンできません。 ●注意事項 通常のスキャンや、全てのプロセスに対して一括でスキャンを行う際には、スキャンに長時間かかる可能性があります。そのためスキャンを開始してから当ソフトウェアがフリーズしたように見えても、強制終了はせずにしばらく様子を見てください。 新型32ビット版「UsaMimi32.exe」での、「全てのプロセスを一括スキャン」でスキャン可能なのは32ビットのプロセスのみです。また、新型32ビット版「UsaMimi32.exe」や64ビット版「UsaMimi64.exe」は管理者権限で起動していないと、全てのプロセスを一括スキャンする際に、プロセスの認識漏れが生じます。 スキャン結果のリスト上で、条件合致のアドレスが出力された列をクリックすれば、当ソフトウェアのメインウィンドウであるダンプ表示画面での表示アドレスを変更し、条件合致のアドレス以降を表示します。ただしこれは解析対象プロセスのプロセスメモリを読み込んで表示しているものであり、全てのプロセスに対して一括でスキャンを行った場合には、たいてい解析対象プロセスと条件合致プロセスが異なるため、列のクリックによりダンプ表示画面での誤表示が生じます。 スキャン結果の該当件数が膨大な場合は、結果リスト上での全列選択や全列コピーに相応の長い時間がかかります。 |
●参考画像(うさみみハリケーン64ビット版) ●参考画像(うさみみハリケーン64ビット版、全てのプロセスを一括スキャン)  ●参考画像(うさみみハリケーン64ビット版、プロセスが使用する全ての実行可能ファイルをスキャン)  |