セキュリティ動向チェック
Security&Trustウォッチ（43）

Windows管理者必携、
Sysinternalsでシステムを把握する

上野宣
2006/12/26

---

　SysinternalsというWebサイトをご存じだろうか？

　何となくそこにたくさんのツールがあるのは知っていても、Webサイトが英語版しかないので全部読む気がしない。また、いくつかのツールは使っているけど、ほかにどういったユーティリティが提供されているのか細かく見ていないという人がいるのではないだろうか。

　筆者もその1人で、「Process Explorer」などの有名なツールは使っていたが、全ぼうは把握していなかった。

　Windowsを使っているシステム管理者や技術者の方ならば、Sysinternalsという名前を知っている方は多いはずだ。SysinternalsはWindows標準のツールでは管理できないシステム情報などを扱うツールを数多く提供している。

　このSysinternalsは、Mark Russinovich氏とBryce Cogswell氏が1996年に設立したWinternals Softwareが提供するWebサイトで、現在はMicrosoftに買収されている。そして、2006年11月からMicrosoft TechNetで「Windows Sysinternals」というWebサイトで提供されている。

【Microsoft TechNet: Windows Sysinternals】 http://www.microsoft.com/technet/sysinternals/default.mspx

　これらのツールではセキュリティカテゴリとして登録されているものもあり、PC上で動いているプロセスをさらに細かく表示するツールや、rootkit的動作をする可能性が含まれるレジストリを表示するものなど、不正なプロセスや挙動がないかを把握することも可能だ。今回はこのツール群から、システムのチェックに必要なもの、運用管理に便利なものをいくつかピックアップして紹介しよう。

■多機能なプロセス管理ツール：Process Explorer

　Process Explorerは、プロセスに関する情報や、プロセス管理に必要な操作などに必要と思われる機能を数多く盛り込んだプロセス管理のためのツールである。

図1　Process Explorer実行画面

　現在稼働しているプロセスについての詳細情報の表示はもちろん、プロセスのkillやリスタート、サスペンド、優先度の変更なども行うことができる。プロセスに関する表示項目は、メニューの［View］→［Select Columns］でカスタマイズすることができるので、必要な項目を追加していくことができる。

　また、メニューの［Options］→［Replace Task Manager］にチェックを入れることで、Ctrl＋Shift＋Escで呼び出す標準のタスクマネージャをProcess Exploreに置き換えることができる。

【Process Explorer for Windows】 http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspx

■プロセスの通信状態を表示：TCPView

　TCPViewは、プロセスが利用するプロトコルやローカル／リモートのアドレス、使用しているポートとその状態をリアルタイムで表示することができるツールである。

図2　TCPView実行画面

　通信の状態を表示する以外には、プロセスを選択して右クリックすることで、ファイルパスの表示やプロセスを終了させることもできる。またTCPViewには、tcpvconというコマンドライン版も同梱されている。

【TCPView for Windows】 http://www.microsoft.com/technet/sysinternals/Utilities/TcpView.mspx

■リモートシステム管理ツールセット：PsTools

　PsToolsは、リモートのシステムを管理するためのコマンド集で、Psを接頭辞とする PsExec、PsFile、PsGetSid、PsInfo、PsKill、PsList、PsLoggedOn、PsLogList、PsPasswd、PsService、PsShutdown、PsSuspendの12種類のツールである。

　リモートのWindowsマシンに対してPsToolsのコマンドを使うことで、プロセスの起動（PsExec）・終了（PsKill）や、イベントログの表示（PsLogList）、サービスの管理（PsService）、シャットダウン（PsShutdown）などを実行することができる。

【PsTools】 http://www.microsoft.com/technet/sysinternals/Utilities/PsTools.mspx

■シンボリックリンクを作成：Junction

　Junctionは、Windowsでディレクトリのシンボリックリンクを作成・削除するためのツールである。

　シンボリックリンクを作成することで、ディレクトリに別の名前を与えることができる。そしてそのシンボリックリンクは、元の本体と同様に扱えるようになる。UNIX系のOSを使い慣れている方ならば、Windowsでもシンボリックリンクを活用したいと思ったことがあるのではないだろうか。

> junction.exe c:\symbolic c:\original Junction v1.04 - Windows junction creator and reparse point viewer Copyright (C) 2000-2005 Mark Russinovich Systems Internals - http://www.sysinternals.com Created: c:\symbolic Targetted at: c:\original

図3　Junction実行イメージ

【Junction】 http://www.microsoft.com/technet/sysinternals/Utilities/Junction.mspx

---

　ここで紹介したユーティリティ以外にも、SysinternalsのWebサイトでは、60種類を超えるユーティリティが提供されている。また、Windowsシステムに関する有益な情報も提供されている。システム管理に有用なユーティリティや情報が多数あるので、一度試してみてはいかがだろうか。

　新たなリリースやアップデート情報などは「Sysinternals Site Discussion」で詳しいものが提供されている。RSSフィードも提供されているので、利用者はこちらをチェックしておくとよいだろう。参考までにユーティリティ一覧と簡単な説明をまとめているので、 ぜひ使ってみて欲しい。現在、SysinternalsのWebサイトは英語版しかないが、マイクロソフトのWebサイトなのでそのうち日本語版が作成されることに期待したい。

■参考：Sysinternals 全ユーティリティ一覧

ツール名	概要	I/F
Sysinternals Suite	Sysinternals 全ツールセット	-
AccessChk	ファイルやレジストリ、サービスに対してユーザー／グループが持つアクセス権限のチェック	CUI
AccessEnum	フォルダやファイル、レジストリに対するパーミッション（Read/Write/Deny）のチェック	GUI
AdRestore	Windows Server 2003 ドメインコントローラから削除されたオブジェクトを再び有効にする	CUI
Autologon	自動ログオンを設定	GUI
Autoruns	起動時やログイン時、エクスプローラやIE起動時などに自動実行されるプログラムの閲覧・設定	GUI/CUI
BgInfo	システム情報やネットワーク設定などを描画した壁紙を作成し設定する	GUI/CUI
BlueScreen	ブルースクリーンと呼ばれるエラー画面を模したスクリーンセイバー	-
CacheSet	キャッシュサイズの上限と下限を調整し設定する	GUI
ClockRes	システムの時刻時計の分解能を表示	CUI
Contig	コマンドライン版の軽量なデフラグツール	CUI
Ctrl2cap	キーボードのCtrlとCaps Lockを入れ替えるカーネルモードのデバイスドライバ	CUI
DebugView	OutputDebugStringとDbgPringからのデバッグ情報を表示	GUI
DiskExt	ディスクマッピングを表示	CUI
Diskmon	物理ディスクへのアクセスを表示	GUI
DiskView	ハードディスクの断片化状態や指定したファイルの位置を表示	GUI
Du	指定したディレクトリの使用状況を表示	CUI
EFSDump	EFS (Encrypting File System)で暗号化されたファイル／ディレクトリ情報の表示	CUI
Filemon	ファイルシステムへのアクセス状況をリアルタイムに表示	GUI
Handle	開いているファイルやディレクトリを表示	CUI
Hex2dec	10進数／16進数変換の計算機	CUI
Junction	シンボリックリンクの作成	CUI
LDMDump	LDM（論理ディスクマネージャ）データベースの内容を表示	CUI
ListDLLs	現在利用しているDLLを一覧表示	CUI
LiveKd	マイクロソフトのカーネルデバッガを使い稼働中のシステムを調査	CUI
LoadOrder	システムに読み込まれているデバイスドライバを一覧表示	CUI
LogonSessions	システム上で稼働中のログオンセッションを一覧表示	CUI
MoveFile	次回起動時に指定ファイルの移動／削除の実行	CUI
NewSID	SID（セキュリティ識別子）を任意のものに変更	GUI
NTFSInfo	NTFSボリュームのサイズやMFT(Master File Table）に関する情報を表示	CUI
PageDefrag	ページファイルとレジストリハイブのデフラグを実行	GUI
PendMoves	次回起動時にリネーム／削除が実行されるファイルの一覧表示	CUI
Portmon	シリアルとパラレルポートの稼働状況のモニタリングツール	GUI
Process Explorer	稼働中のプロセスに関して多彩な機能を提供する強力なツール	GUI
Process Monitor	ファイルシステムやレジストリ、プロセスなどの稼働状況のモニタリングツール	GUI
ProcFeatures	プロセッサの情報を表示	CUI
PsExec	指定したユーザーでローカル／リモートでプロセスを実行	CUI
PsFile	リモートから開かれているファイルを表示	CUI
PsGetSid	指定したコンピュータ／ユーザーのSIDを表示	CUI
PsInfo	リモートレジストリAPIにアクセスしてローカル／リモートのシステム情報の表示	CUI
PsKill	プロセス名／IDを指定してローカル／リモートのプロセスをkill	CUI
PsList	ローカル／リモートのプロセス情報を表示	CUI
PsLoggedOn	ローカル／リモートのコンピュータにログイン中のユーザーを表示	CUI
PsLogList	ローカル／リモートのイベントログの内容を表示	CUI
PsPasswd	ローカル／リモートのユーザーのパスワード変更	CUI
PsService	ローカル／リモートのサービスの状態の表示と制御	CUI
PsShutdown	ローカル／リモートのコンピュータのシャットダウンと再起動の実行	CUI
PsSuspend	ローカル／リモートのプロセスのサスペンドとレジュームの実行	CUI
PsTools	ツール名が「Ps」で始まる一連のツールセット	CUI
RegDelNull	通常のレジストリエディタでは消せないキーの削除	CUI
RegHide	通常のレジストリエディタでは見えないキーの作成	CUI
Regjump	レジストリパスを指定してregeditを起動	CUI
Regmon	レジストリへのアクセスのモニタリングツール	GUI
RootkitRevealer	rootkitベースのマルウェア検出ツール	GUI
SDelete	米国防総省準拠方式などを使いファイル／ディレクトリなどを消去	CUI
ShareEnum	ネットワーク内のファイル共有の状況を表示	GUI
Sigcheck	ファイルのバージョン情報やデジタル署名などを表示	CUI
Streams	NTFSの代替データストリーム（ADS）を検出	CUI
Strings	バイナリファイル内のUNICODE／ASCII文字列を表示	CUI
Sync	ディスクのデータをフラッシュ（UNIXのsyncコマンド風）	CUI
TCPView	プロセスと関連させてTCP/UDPの状態を表示	GUI/CUI
VolumeID	FAT／NTFSドライブのボリュームラベルを設定	CUI
Whois	NICの登録情報の表示（whoisコマンド）	CUI
WinObj	オブジェクトマネージャの名前空間の表示	GUI
ZoomIt	デスクトップ画面の拡大表示と描画ツール	GUI

Profile

上野 宣（うえの せん） 株式会社トライコーダ代表取締役 ネットワーク・セキュリティ監査、セキュリティ対策・運用改善コンサルティングを主な業務としている。 情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」（共に翔泳社）がある。個人ブログは「うさぎ文学日記」

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）