「自分が割と信用している(機能レベルで)アプリ」に「信用していないアプリが含まれている事」が最近よくある。この間も、ある切っ掛けで知人と一緒にあるアプリをインストールしたら、自分だけがその事に気がついた。教えてあげたら、何故気がついたのか・どうすりゃ良いのかを聞かれたので書いてみる。

で、まあ、どんな対応が取れるか(っつーか中級者以上がやりそう/出来そうな事)というと。

1.Filemonとかタスクマネージャで監視しつつ初回起動

起動はしてしまうので、怪しげなプロセスが上がったら、慌てて叩き落す事になる。一度動いてしまうので当然危険。

2.インストール直後にアンチスパイウェアでスキャン

アンチスパイウェアの多くは、特定フォルダに対するスキャンが出来ないので、全体をスキャンする事になる。また、容易に解凍出来ないタイプのインストーラの場合で、かつ、インストール中に初回起動を済ませるタイプに無力。

3.リネームしつつ起動

メインの exe 以外をリネーム、メインの exe は信用出来る物として起動(事前に調べるにせよそれは別の話)。変な事が起きる度にチビチビと、exe を google しつつ、安全そうなら元に戻す。google がパターンファイルで、手動スパイウェアブロッカー。比較的安全だけど非常にダルい。またコレもインストーラの動作中は無防備。

4.常駐型アンチスパイウェア頼り切り(実はKillBits系も含む)

この機能はアンチウィルスに比べて、あまり精査されていないように思う。少なくとも詳細な比較記事やらを見た事が無い。大抵の物はKillBits 設定と IE に特化した保護しかしていない。ので今回の場合まず無意味(これ解りにくいよな…)。

5.常駐型アンチウィルスの対スパイウェア機能にまかせる

アンチウィルスの種類によってスパイウェア対応に差がありすぎる。把握してれば問題無いが…。

どれもこれも以下略だ。

そこで自分が使用している kerio4 のようなプロセス起動を監視して、必要に応じて起動許可を求めるダイアログを出すようなアプリ*1の出番になる。何かのアプリが外部の exe を起動する度に、起動の可否を問い合わせてくれるので、google で検索するなり何なりすれば良い。

と、ここまで来ると次に狙われるのは exe ではなく DLL。一度起動を認めた exe の周辺の dll が置換したり、アプリのインストールパスに同名 DLL を置かれたりされると同じ事だけど、この辺については、各ジャンリのアプリ共に何らかの方法でガードを試みている模様(全部は正直わからん…)。特にパーソナルファイアウォールでは、しばらく前に出た leak test でさんざん話題になった(と思う)ので、大体対応済と思われる。いちおう。

一揃えするとなると…

• プロセス監視
• アンチスパイウェア
• アンチウィルス
• パーソナルファイアウォール

これだけやって置けば、本体・付属品のどちらかに悪意なりがあったとしても、大体防ぐ事が出来る。はずだ。

後は、各種アプリのアップデートや WindowsUpdate をやって、使用してない管理共有とかの危険設定を直して、初めてとりあえず安心と言える状態になると。そして、JWord のような不快ウェア*2を過って入れないように、インストール中は何であれ良く読む事と。やること多すぎ…

因みに今回の物は、spybot, adaware では検知も駆除も不可能だった。パターンで認識する系統のアプリは最終的に金持ったスパイウェア業者には無力なのかも。

つーか、実は VMWare と VMWare Player も併用してます。高いけどこれが一番効いてるかも。