「OTLの使い方 (駆除担当者向け)」の編集履歴(バックアップ)一覧に戻る
#contents()
----
*OTLの使い方 (駆除担当者向け)
このページでは、解析ツールOTL (OldTimer Listit) の詳しい使い方について解説します。
&bold(){&u(){このページは駆除担当者向けです。また現在作成中のため、随時変更が加えられる可能性があります。}}
**OTLの機能
OTLは、もともと開発が停止したHijackThisの後継という役割を期待され、開発されたソフトウェアです。従って、OTLには、マルウェア感染の解析に有用なさまざまな機能が搭載されています。以下にその例を示します。非常に多機能であり、以下の一覧以外の機能も含まれる可能性があります。
***ログから得られる情報
-HijackThis互換(O1,O2...Ox)の設定表示
-主要な3つのブラウザ(Internet Explorer、Mozilla Firefox、Google Chrome)の設定およびプラグイン一覧
-指定期間内に変更・作成されたファイルの列挙
-起動中のプロセス、読み込まれているモジュールの列挙
-サービスの一覧と各サービスの自動起動・実行状態の表示
-サービスドライバ(デバイスマネージャにおける「プラグアンドプレイではないドライバ」等)の種類、属性、実行状況の表示
-ZeroAccessルートキットに特徴的なエントリの検出
-インストールされているソフトウェア一覧の表示
-改変を受けやすい拡張子の関連付け設定の表示
-Windows ファイアウォールの設定の表示
-セキュリティセンター設定の改変の確認
-最新のイベントビューアのエントリの表示
-ドライブのパーティション情報の取得
-OS情報の取得
※以上の各種ログに対しては、内蔵ホワイトリストにより可読性の向上が図られます(設定により無効化可能)
***対象のコンピュータに対し実行できる操作
-OTLにより検知された設定・レジストリエントリの削除
-起動中のプロセス・サービスの強制終了
-各種ファイル・フォルダの移動・削除・MD5取得
-復元ポイントの作成・全削除
-一時ファイルの全削除
-”Purity infection”(Unicode制御文字によるある種のファイル名操作)の駆除
-Hostsファイルのリセット
-任意のコマンドラインプログラムの実行
-任意のレジストリエントリの設定
**ログ取得の方法
***OTLのダウンロード
OTLは以下のどちらかのアドレスからダウンロードすることができます。頻繁(1~2週に1回程度)にアップデートされていますので、時間が空いた場合にはOTLをダウンロードしなおすことをお勧めします。
[[http://oldtimer.geekstogo.com/OTL.exe>http://oldtimer.geekstogo.com/OTL.exe]]
上記のアドレスが使えない場合は、こちらをお試しください。
[[http://www.itxassociates.com/OT-Tools/OTL.exe>http://www.itxassociates.com/OT-Tools/OTL.exe]]
ダウンロードしたOTLは、分かりやすいようデスクトップに置くことを推奨します。
***OTLでのログ取得
OTLを起動すると、以下の画面が表示されます。32ビット版の画面なので、64ビット版だと一部のオプションが異なります。
#image(otl_number_explain.png)
ログ取得の際に利用するのは、上の画像のうち、1,3,5の3か所です。
それ以外の設定については、特別な理由のない限りは変更しなくても問題ありません。
起動後の画面で、3の位置にある「Scan All Users」及び「Include 64bit Scans」にチェックが入っていることを確認してください(デフォルトでチェックが入っているはずです)。
次に、指示があった場合には、5の位置に指示されたスクリプトを貼り付けてください。
最後に、1の「Run Scan」を押すとスキャンが始まります。スキャンには、環境にもよりますが数分~10分程度かかります。
スキャンが完了すると、ログがメモ帳等のテキストエディタで表示されます。
1回目のスキャンでは、設定を変更しない限りは、「OTL.txt」と「Extras.txt」の2ファイルがOTLと同じ場所に生成されます。
2回目以降のスキャンでは、「Extras.txt」は生成されず、「OTL.txt」のみが生成されます。
この2ファイルのうち、重要なのは「OTL.txt」です。「Extras.txt」は追加情報が主なので、通常は無くても大きな問題はありません。
**ログに表示される情報
デフォルト設定の場合、OTLログには以下の情報が表示されます。
以下に、ログの例を示しつつ、各種項目について解説します。
>OTL logfile created on: 2012/08/16 午前 7:59:37 - Run 1
>OTL by OldTimer - Version 3.2.57.0 Folder = C:\Users\user\Desktop
>64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
>Internet Explorer (Version = 9.0.8112.16421)
>Locale: 00000411 | Country: 日本 | Language: JPN | Date Format: yyyy/MM/dd
OTLログのタイトル部分です。
OTLログの取得時間、OTLの保存場所、WindowsとIEののバージョン、ビット数、OTLの実行回数、実行環境の言語情報等が表示されます。
>3.80 Gb Total Physical Memory | 1.07 Gb Available Physical Memory | 28.04% Memory free
>7.60 Gb Paging File | 4.61 Gb Available in Paging File | 60.69% Paging File free
>Paging file location(s): ?:\pagefile.sys [binary data]
>
>%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
>Drive C: | 516.79 Gb Total Space | 403.14 Gb Free Space | 78.01% Space Free | Partition Type: NTFS
>Drive D: | 65.19 Gb Total Space | 65.09 Gb Free Space | 99.85% Space Free | Partition Type: NTFS
物理・仮想メモリの容量と使用率、仮想メモリの場所、システムドライブと環境変数、パーティション情報の一部が表示されます。
>Computer Name: Computer
>Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
>Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
コンピューター名、スキャンの設定、Windowsの起動状態等が表示されます。
>[color=#E56717]========== Processes (SafeList) ==========[/color]
>
>PRC - [2012/08/16 07:53:01 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Users\user\Desktop\OTL.exe
>PRC - [2012/07/22 01:42:37 | 000,913,888 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
起動しているプロセスについて、内蔵ホワイトリスト(SafeList)によって除外されたもの以外が一覧表示されます。
各項目の意味は、
&bold(){PRC - }
「プロセス情報」を示す接頭辞です。
&bold(){[2012/08/16 07:53:01 | 000,596,992 | ---- | M]}
ファイルの日付およびファイルサイズ、ファイルの属性(RHSD)が表示されます。
R:読み取り専用、H:隠しファイル、H:システムファイル、D:ディレクトリ
&bold(){(OldTimer Tools)}
ファイルに作成者の情報が含まれる場合、その情報が表示されます。
デジタル署名等による検証は行われていませんので、偽装である可能性もあります。
&bold(){C:\Users\user\Desktop\OTL.exe}
ファイルのパスが表示されます。
>[color=#E56717]========== Modules (No Company Name) ==========[/color]
>
>MOD - [2012/07/22 01:42:36 | 002,003,424 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
読み込まれているモジュールのうち、会社名情報の無いものが表示されます。
各項目の意味はプロセスと同様です。
>[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
>
>SRV:64bit: - [2010/12/06 10:38:06 | 000,055,696 | ---- | M] (NEC Corporation, NEC Personal Products, Ltd.) [Auto | Running] -- C:\Program Files\NEC\AtrioSide\AS_ContentsDL.exe -- (AS ContentsDL)
>SRV - [2010/11/01 01:03:00 | 000,021,488 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Roxio\BackOnTrack\App\BService.exe -- (BOT4Service)
>SRV - [2010/07/28 11:51:08 | 000,116,064 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Sony Shared\AVLib\PACSPTISVR.exe -- (PACSPTISVR)
登録されているサービスのうち、SafeListにより除外されなかったものが表示されます。
&bold(){SRV:64bit: - }
64ビットのサービスであることを示す接頭辞です。
&bold(){SRV - }
32ビットのサービスであることを示す接頭辞です。
&bold(){[Auto | Running]}
サービスの設定状態を示します。左側はサービスの自動起動の設定、右側は現在の稼働状況を示します。
左側/Auto:自動起動、On_Demand:手動起動、Disabled:無効
右側/Running:稼働中、Stopped:停止中
&bold(){-- (AS ContentsDL)}
サービスの登録名を示します。
>[color=#E56717]========== Driver Services (SafeList) ==========[/color]
>
>DRV:64bit: - [2012/03/01 15:54:38 | 000,022,896 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
>DRV - [2009/07/14 10:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
登録されているドライバのうち、SafeListにより除外されなかったものが表示されます。
&bold(){DRV:64bit: - }
64ビットのドライバであることを示す接頭辞です。
&bold(){DRV - }
32ビットのドライバであることを示す接頭辞です。
&bold(){[Recognizer | Boot | Unknown]}
ドライバの状態を示します。左側はドライバの種類の設定、中央はドライバの起動タイミング、右側は現在の稼働状況を示します。
左側/Kernel、Recognizer、File_System等
中央/Boot、System、Auto、On_Demand等
右側/Running:稼働中、Stopped:停止中、Unknown:取得失敗
ルートキットによっては、ここに該当するドライバーがUnknownとして出るケースもあるようです。
但し、その場合でもOTLのみによる除去は困難と思われます。
&bold(){-- (Fs_Rec)}
ドライバの登録名を示します。
>[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
これより、ブラウザの設定とHijackThis互換のエントリ表示となります。
>[color=#E56717]========== Internet Explorer ==========[/color]
InternetExplorerの各種設定が表示されます。
IEのプラグインや拡張機能類については、HijackThis互換エントリ側で表示されるため、こちらには表示されません。
>[color=#E56717]========== FireFox ==========[/color]
Firefoxの設定のうち、改変されたと考えられるもの、各種プラグインと拡張機能(Extension)の一覧、検索エンジンの一覧が表示されます。
また、プラグインや拡張機能、検索エンジン設定については、該当するファイルやフォルダも表示されます。
>[color=#E56717]========== Chrome ==========[/color]
Google Chromeの設定が表示されます。
拡張機能やプラグインの設定も表示され、Firefox同様に該当するファイルやフォルダも表示されます。
>O1 HOSTS File: ([2009/06/11 06:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
>O2:64bit: - BHO: (Yahoo!ツールバーフィッシング警告) - {1F68E72C-50E5-44B8-8F56-6A54D3AF1DA4} - C:\Program Files\Yahoo!J\Toolbar64\7_3_0_12\Modules\ypho.dll (Yahoo Japan Corporation. )
>(以下続く)
HijackThis互換のエントリ表示です。
OTLではHijackThisよりもエントリ数が拡充されています。
>CREATERESTOREPOINT
>Restore point Set: OTL Restore Point
HijackThis互換エントリの下に、カスタムスキャンによるコマンドの結果が記載されます。
この場合では、「CREATERESTOREPOINT」というコマンドにより、システムの復元ポイントが作成されたことを示します。
これらコマンド一覧は後述します。
>[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
指定日数以内(デフォルトでは30日)に作成されたファイルやフォルダが列挙されます。
ファイルについては、通常の文書ファイルの類は表示されないようですが、フォルダは全て出てきますので、フォルダ名によっては個人情報の観点から問題が生じるかもしれません。
>[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
指定日数以内(デフォルトでは30日)に変更されたファイルが列挙されます。
同様に、通常の文書ファイルの類は表示されないようです。
>[color=#E56717]========== Files Created - No Company Name ==========[/color]
企業名情報の無いファイルが、期間に関係なく列挙されます。
音楽ファイルや画像ファイルの類が表示されてしまう場合があり、ファイル名の付け方次第では個人情報の観点から問題が生じるかもしれません。
>[color=#E56717]========== ZeroAccess Check ==========[/color]
ZeroAccessルートキットに特徴的な設定改変やファイルの存在の有無を表示します。
なお、一部のファイルについては感染していなくても表示されるものがあり、またレジストリ設定は常に表示されるため、ここにエントリがあるからと言って即感染というわけではありません。
よく表示されるファイルとしては
>C:\Windows\assembly\Desktop.ini
等があります。
以下は過去の感染例(海外フォーラムのもの)になります。「~.@」といった特徴的なファイル名が分かります。
>[color=#E56717]========== ZeroAccess Check ==========[/color]
>
>[2011/11/17 02:41:18 | 000,002,048 | -HS- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\@
>[2012/09/23 17:52:41 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\L
>[2012/09/23 20:02:22 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U
>[2012/09/23 19:49:27 | 000,000,804 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\L\00000004.@
>[2012/09/21 17:15:34 | 000,002,048 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U\00000004.@
>[2012/09/23 19:53:44 | 000,232,960 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U\00000008.@
>[2012/09/21 16:47:20 | 000,077,824 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U\80000064.@
>[2009/07/14 00:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
>[2012/09/23 19:49:26 | 000,005,120 | -HS- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
>[2012/09/23 19:49:26 | 000,006,144 | -HS- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini
>
>[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
>
>[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
>
>[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
>"" = C:\Windows\SysNative\shell32.dll -- [2012/06/09 01:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
>"ThreadingModel" = Apartment
>
>[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
>"" = %SystemRoot%\system32\shell32.dll -- [2012/06/09 00:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
>"ThreadingModel" = Apartment
>
>[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
>"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009/07/13 21:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
>"ThreadingModel" = Both
>
>[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
>[color=#E56717]========== Custom Scans ==========[/color]
カスタムスキャンにおいて、ファイルスキャンを指示した場合などには、その結果が表示されます。
(以下、作成中…)
----
2014/07/19
作成
#ref(http://x4.sonnabakana.com/bin/ll?06760280a)
