F-Secure Blacklightは、アンチウイルスソフトベンダのF-Secureの厚意で、約2年間にわたって無償提供されていたRootkit検出ツールですが、残念ながら2007年10月1日をもって無償提供が終了しました。従って、今後はこのツールを使用するには、有償の「F-Secure Internet Security」を購入する必要があります。
本当に残念ですが、これまでこのツールによって救われた人は数知れず、F-Secure社の功績ははかり知れません。
以下、無償提供されていた当時の解説ページです。
F-Secure Blacklightは、アンチウイルスソフトベンダの F-Secure が提供している Rootkit の検出ツールです。
ステルス型のマルウエアなどによって隠蔽されたファイルを検出して、必要に応じて再起動時にリネームする機能がついています。
なお、このツールはWindows 2000、Windows XP (32-bit および 64-bit)、Windows 2003 Server (32-bit
および 64-bit)、
Windows Vista (32-bit のみ)に対応しています。Windows NT, 95, 98, Me では使えません。 こちらの記事 にあるように、
F-Secure のアンチウイルスソフトの 2006 年バージョンでは、このツールの機能を組み込んだスキャンエンジンが、他のベンダに先駆けて搭載されました。
有り難いことに、Blacklight 単体は試用版を2007年10月1日まで無償で使うことが出来ます(2007年4月2日現在)。
こちらのページ にアクセスして、
下にある「I ACCEPT」をクリック。「セキュリティ情報」の警告が出た場合はそのまま「はい」をクリック
上の方の、「Download Blacklight Beta graphical....」をクリックするとダウンロードが開始されます。デスクトップなどに保存してください
アイコンはこんなの↓です。ダブルクリックするだけで実行できます。
起動画面です。
Licence Agreement に同意する必要があります。"I accept the agreement" にチェックして OK ボタンをクリックします。
その次の画面です。
そのまんまです。"Scan" ボタンをクリックしてスキャンを開始してください。
スキャンが終わって、なにか発見された場合は以下のような画面になります。
また、この画面の "Show all processes" ボタンをクリックすると、隠蔽されているプロセスも含めたすべてのプロセスに関する、
プロセス名と PID の一覧を表示した以下のようなウインドウが見られます。
ここで、隠蔽された悪玉ファイルが存在することが判明した場合は、"Next >" ボタンをクリックして、次のリネーム作業に進みます。
ちなみに何も発見されなかった場合は以下のような画面になります。
この場合は、そのまま "Close" ボタンで終了してください。
次の画面では、隠蔽されていることが判明したファイルをリネームするかどうかを決めます。
検出されたファイルの一覧が表示されていますので、リネームしたいファイルを選択反転(画像注1)して、その下にある "Rename"
ボタンをクリック(画像注2)します。
すると、下の画像のようにファイル名の右側の Action というカラムの表示が "None" → "Rename" と変化(画像注3)します。これを確認して、"Next >" ボタンをクリック(画像注4)で次へ進めば OK です。
なお複数のファイルをリネームしたい場合は、個々のファイルそれぞれについて、上記の「選択表示反転 → "Rename" ボタンクリック」という作業を繰り返します。
また、一度 Action を Rename にしたファイルのリネームを止めたくなった場合は、当該ファイルについて
「選択表示反転 → "None" ボタンクリック」を行って、Action のカラムを "Rename"
→ "None" に戻してください。
手順 4 でリネームするファイルを決定して "Next >" ボタンをクリックすると、以下のような画面が出てきます。
この画面の内容を要約すると、
となります。この画面が最終確認画面です。
手順を継続するには "I have understood the warning and wish to continue"
にチェックを入れて OK してください。
また、この画面で OK を押す前ならいつでも、"Cancel" ボタンやウインドウ右上の×ボタンでツールの実行を中断できます。
判断に困った場合などは、この画面で決して OK をクリックしないようにしてください。
その後、以下の画像のような実行結果の summary が表示されるのでここで "Restart now" をクリック。
さらに、その次に以下のような画面で再起動する旨が表示されるので、
保存していないデータは保存して開いているアプリケーションをすべて閉じます。
再起動の準備が出来たら、このウインドウの OK をクリックするか、右上の×ボタンでウインドウを閉じると PC が再起動します。
再起動後に、目的のファイルがきちんとリネームされているかを確認してください。
上記のように使い方は非常にシンプルですが、隠蔽されたファイルが悪玉かどうかの判断は自分で行う必要があります。
また、Rootkit がファイルを隠蔽するときには、「特定の文字列をファイル名に含むファイルを隠蔽する」ということが良くあります。
このタイプの場合、正規のファイル(ないし、悪玉ではないファイル)もファイル名のパターンさえマッチしてしまえば隠されてしまうので、
BlackLight で見つかったものを確信なく無条件でリネームしてしまうと、最悪 Windows が起動しなくなる場合があります。
検出されたものについては、Web 検索などを利用して十分に素性を確かめてからリネームするかどうかを決めてください。
BlackLight を実行すると、BlackLight の実行ファイル(fsbl.exe)と同じ場所にログファイルが自動生成されます。
ファイル名は、"fsbl-20070405051647.log" のように、"fsbl-実行した日付時刻.log"
というファイル名になります。
こんな感じです↓。
このログファイルの内容は、例えば以下のようになっていて、
隠蔽されていることが検出されたプロセスとファイル名の一覧が見られます。
質問掲示板で、回答者からこのツールで調査するよう指示があった場合は、上記のログファイルの全部を返信にコピーして貼り付ければよいと思います。
また、質問掲示板でこのツールを使ってファイルのリネームを指示された場合は、上記の手順に従って "指示されたファイルのみ" をリネームしてください。
最終決定画面で OK をクリックしてしまった後に、操作を取り消したくなった場合は、BlackLight の実行を完了させずに、レジストリエディタを使って、
キーにある
という値を削除してください。
その後、BlackLight を終了すれば再起動は行われますがファイルのリネームは実行されません。
このページは、fooさんが作成されたWikiページをそのままHTML化したものです。
2007.10.8 無償提供終了に伴い、トップにその旨を注記
2007.4.14 「beta」がはずれて画像差し替え中
2006.12.30 有効期限延長に伴い、眠さんの案の線で序文を改訂
2006.8.23 再度有効期限延長と、ページの仕様がちょっと替わっていたので改訂
2006.1.2 有効期限が延長されたので改訂
2005.10.23 ページ作成
