遠隔操作Virusの痕跡って？

Question

いま問題の「iesys.exe」とか言うウィルスですが。

プログラムは遠隔操作で削除され、発見されていなかった。
しかし「不正プログラムが起動した形跡」が見つかった。

と言うニュースです。

この痕跡って、どこで分るんでしょうか？

parts · Accepted Answer

ファイルを実行した痕跡というのは、一般にMFTの断片と実ファイルの場所を確認し、そこから目星をつけます。まあ、ここの他の回答に、System Volume Infomationからという回答もありましたが、削除したデータはここからは検出はできませんので、ご注意下さい。
（SVIは、Windowsが持つシステムの復元及び、システムボリュームの特定カタログ管理に用いられるものです。簡単に言えば指定したバックアップ情報を保持しています。そのため、それを取得していなければ、ここから情報を取り出すことはできません）

一般に、ファイルを削除する作業というのは、ファイルのインデックス情報を消して、実ファイルへのリンクを断つだけで終わりです。即ち、ファイルが保存されている場所を消去したわけではなく、リンクテーブルにある情報を何もないと変更するのですよ。そうすることで、短時間でのデータ消去と、データライトを行えるようにしています。これは、磁気ディスクの書き込み特性を利用したものです。
ちなみに、これがSSDやSDカードなどでは逆効果になりますが、これはまた別の話です。

そのため、データを消去しても実データは上書きされない限り、残ることになります。
また、後に運悪く別のデータの上書きが完了しても、磁気の特性として残留磁場が残ります。

私がよく説明に使うのは、鉛筆と消しゴムの関係です。紙に文字を書き、消しゴムで消すと、その下に筆圧による痕跡が残ります。その上に文字を書き込んでも、筆圧痕は残っているため、特別な措置をすれば、残留情報を読み取れる場合があります。ただし、残留情報は全体を復元できるとは限らないため、痕跡として扱われます。

起動したという痕跡は、MFT上の痕跡を探れば分かります。これはMaster File Tableの略で、WindowsではNTFSと呼ばれるファイルテーブルフォーマットで採用されています。これには、データの場所情報とアクセス情報（最終アクセス日）、データの更新情報、データの作成日時、ファイルサイズに関する情報と、それらをジャーナリングするためのメタ情報リンクが組み込まれています。
即ち、この断片が修復可能なら、ファイルの位置、ファイルのアクセス日などが全て判明するのです。

ちなみに、この情報がファイル消去時に消されるインデックスとなりますが、この領域はWindows上からは予約テーブルとなっており、痕跡を消すソフトをWindows上から実行しても、この領域の情報を改変することは基本的にはできません。（Windows以外のOSからパーティション全体を消去するソフトを実行した場合のみ残留磁場も消去可能です）
そのため、痕跡を検出しやすいという特性があるのです。

よって、実ファイルが見つからなくとも、起動した形跡やファイルのサイズなどなら、見つかる可能性が高いのです。まあ、削除後のファイルも確実に捉えたのだと思います。

尚、高度なデータの抽出（磁束抽出）は、磁気特性を寄り細かく識別できる装置が必要です。そのため、自宅で簡単に取り出すことはできません。ただ、削除されたファイルを抽出するだけなら、ファイナルデータなどそういうソフトでも、上書き処理がされていない前提なら可能です。

最後に、これはフラッシュメモリ（SDカードやSSD）に対して有効な対処ではありません。
あくまで、磁気ディスク（ハードディスク）が対象であることに注意して下さい。まあ、SSDでこのウィルスに感染し、好き放題やられるとTrimが有効だと手のつけようがないです（SSDではTrimが無効だとプチフリーズの原因になります）。痕跡も残らないですから・・・。

遠隔操作Virusの痕跡って？

ファイルを実行した痕跡というのは、一般にMFTの断片と実ファイルの場所を確認し、そこから目星をつけます。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング