- ベストアンサー
EXEファイルを分解してウイルスが入ってるかどうか調べたい
起動するとどうなるかわからないexeファイルがあるんですが、 どうしても起動してみたいんです ウイルスチェックソフトでチェックをかけてもウイルスは見つかりませんでしたが、 新種のウイルスが入っていたり、ハードディスクを破壊するプログラムが組み込まれている可能性はありえます。 こういったプログラムが入っているかどうかを、 exeファイルを分解?して確かめることはできないのでしょうか? クリックしてみるまで誰にもわからないのでしょうか?
- みんなの回答 (11)
- 専門家の回答
質問者が選んだベストアンサー
>ファイルは違法ファイルとかでなく、 >オンラインゲームのツール(ギリギリ違反にもならない)なのですが、 見聞きした話からすると、ゲーム関連の掲示板上から張られたリンク上から入手出来るようなこの種のツールの多くはトロイの木馬である可能性が高いです。有用なツールであると見せかけて、実は…というのはそもそも『トロイの木馬』といわれる所以でもあります。 例えば、こんな感じの奴。 http://www.symantec.com/region/jp/avcenter/venc/data/jp-pwsteal.lineage.html 個人的にはそんなの頭っから信用せずにゴミ箱行きでいいと思うんですが。 バイナリエディタで目視してウイルスかどうかが判断出来るようなら…いろいろともっと楽なんじゃないかなぁと思ったり。 ちなみに…Win32云々は、32bit動作のWindowsOSを指す用語ですから、この文字列があったらウィニーだとかってことはないですよ。 取り合えず…やばそうなファイルを持ち込んで検査してもらえるサイトってのがいろいろありますから、そういうとこを利用するってのはどうでしょうか。もっとも、どの対策ソフトメーカーもまだ検体を入手していない場合には無問題と判定されてしまう危険性もありますが。 http://virusscan.jotti.org/ http://www.virustotal.com/xhtml/index_en.html 問題となるファイルが危険かどうかを高確率で判断出来る、ってことは…取りも直さず、専門家の目でないと無理です。
その他の回答 (10)
- waros99
- ベストアンサー率29% (162/544)
私はノートでVMWare使ってますが(HDD:80GB、M:768MB)、ほとんどストレスなく使えてます。一般人だと、せいぜいVM使うぐらいかと。
お礼
皆様、ご回答ありがとうございました。
- dion0622
- ベストアンサー率25% (112/441)
#4です 参考資料をごらんください http://www.microsoft.com/japan/security/encyclopedia/antinny.mspx
- dion0622
- ベストアンサー率25% (112/441)
>winnyとは関係ないと思います。 winnyを使用したことがないので・・・。 winnyを使わなくても感染することがあるのですよ 今までの回答者たちのご意見を伺ってもその経過から判断できるのではないですか? わたしの参考URLをもう一度参照してください
- ryu-fiz
- ベストアンサー率63% (2705/4228)
6番目に回答したものです。 取り合えず先述したサイトにその実行ファイルを送り、検査してもらってはどうですか?両サイトとも、複数のウイルス対策ソフトのエンジンを利用してウイルス検索を行います。ヒューリスティック検出で定評のあるNOD32、Kaspersky、Pandaなど複数のエンジンを併用して判定するので、未知のものでも判定出来る可能性が高いです。 あと…一番身近な『専門家』は、ご利用になっているウイルス対策ソフトの開発チームです。要するに『検体』して真偽をはっきりしてもらうことは可能ではないかと思います。
- 123admin
- ベストアンサー率52% (1165/2222)
既に皆さんの回答で言い尽くされていますが、敢えて一言。 生兵法は怪我の元 まぁ本当にスキルのある人間はこんな質問はしないし、迷いが生じても自分の使用環境を開示して意見を求めると私は考えます。 誰でも一度は通る道ですから・・・ ミイラ取りがミイラにならないようにバックアップだけはちゃんとしていつでも元に戻せる様にしておいてくださいね。
お礼
回答ありがとうございます。 リカバリには何時間もかかってしまいますし、ウイルスをモロに喰らうのだけは避けたいところです・・・
- ryu-fiz
- ベストアンサー率63% (2705/4228)
率直にお尋ねします。 分解出来たら、それが危険だと分かるんですか? どこを見れば危険だと判断出来るのですか…? 圧縮されて通常は分かり辛くなっているものを解凍すれば、 多少なりとも中身の確認は出来ますが… それが出来たところで危険かどうかの判断がきちんと出来るかどうかは 甚だ疑問が残るところです。 少なくとも、こういうところでこんな質問をされるような方が プログラム構造を理解して中に危険なものが入ってるかどうかを 見極められるかどうか…私には出来るとは思えないのですが。 既知のマルウェアコンポーネントが名称も同じ、 ファイルサイズまできっちり同じとか そういうレベルでなかったら、一見してそれを判断するのは無理。 そして、トロイの木馬を作成するためのキットが ネット上に出回っている現状では、 世界に1つだけしかないトロイの木馬があることは 全く珍しいことでもないのです。 いかにも怪しいと思われるそのファイルを あくまでも実行したいとおっしゃるんなら、 あらゆる可能性を最大限考慮し、 感染の危険性があることを十分承知した上で、 自己責任で実行する以外に方法はないでしょう。 もちろん問題が発生したら、 それは質問者さんご自身の責任と言うことで。
お礼
回答ありがとうございます。 PCは2台あるんですが、1台は完全に仕事用、 もう一台のノートはオンラインゲームやインターネット用に使用しています。なのでどちらも犠牲にできないのです…
- dion0622
- ベストアンサー率25% (112/441)
ウインー32はウイニー(ワーム)です つまり既にあなたのPCはワームに感染している証拠です http://www.microsoft.com/japan/security/encyclopedia/antinny.mspx とりあえずこのURLで処理(削除)してください 駆除ができない場合にはリカバリも考慮しなければなりません
お礼
回答ありがとうございます。 winnyとは関係ないと思います。 winnyを使用したことがないので・・・。
- K-1
- ベストアンサー率21% (832/3844)
>クリックしてみるまで誰にもわからないのでしょうか? その通り。 アンチウィルスソフトが対応していない最新ウィルスはチェックかけても検出されません。 文字列を抜き出してみたようですが、そんなあからさまな文字列を埋め込むようなウィルスソフト作者はいません。 たまにいますけど。 バイナリを覗くということは、そのソフトを解析するということです。 windowsやCPU、アセンブラの知識が必要です。 仮にスタンドアロン環境で問題なさそうに見えても、ネットに繋がった瞬間に何かするかもしれません。 普段は何もないけど、オンラインゲーム内で何かしてるかもしれません。 しばらく寝かせておいて、人柱の報告を待つくらいでしょうね。
お礼
回答ありがとうございます。 そのファイルを手に入れた人が数人で、 他の人が起動してどうなったか?というのが確認できないんですよ…
- KnKn9898
- ベストアンサー率31% (40/127)
やってやれないことはないです。 exeを適切なデバッガに食わせて、アセンブリコードを逐一眺めていけばどんなプログラムでも「何をやっているか」を知ることができます。 ただ、それをやるには機械語の知識が必要だし、相当時間がかかるのでいわゆるクラッカーとかアタッカーと呼ばれる気合いの入った人でないと無理です。 もうひとつの手としてはバイナリエディタを拾ってきてざっくりと中身を眺めることです。うまくすると実行中に表示されるはずの文字列や、exe作成者のメモ的な情報が見れるかもしれません。それによってある程度のあたりは付くでしょう。 あとはそのexeファイルの名前を検索してみて確認するか(サイズなどが一致しているか見る必要はあります。偽装している可能性もあるので)。 一番手っ取り早いのは「何をされても問題ないマシン」で実行してみることかなあ。
お礼
ご回答ありがとうございます。 最初のは素人の私には理解できなかったのですが、 バイナリエディタで開いておかしいところがないか検索するというのはありかもしれませんね。 ファイルは違法ファイルとかでなく、 オンラインゲームのツール(ギリギリ違反にもならない)なのですが、 それが本物かどうかわからないため、実行をためらっているんです…
補足
バイナリの中から、文字列っぽいのを抜き出してみました。 This program must be run under Win32 $7 InterlockedExchange (IME 2000)TabOrde OnKeyDown AllKetDown Version compatibility info ここからウイルスらしきものが感じられますでしょうか?
- nmsn
- ベストアンサー率45% (56/124)
VMPlayerにOSインストールして 仮想OS上で実行すればいいのでは? VMwareならスナップショットで何度でも元に戻せますし。 リバースエンジニアリングしても 一般のユーザーじゃ意味無い様な気がします。
お礼
ご回答ありがとうございます。 仮想マシン上で実行してどうなるか試すってことでしょうか? 仮想ソフトってPCの性能がかなりいるらしいんですよね… 今メインでインターネットに使っているマシンはノートなので、 起動できるかどうか…
お礼
回答ありがとうございます。 まさしくその通りです。 2chではなく、個人の掲示板で数人か数10人に配られたものです やはり専門家の目が必要ですか・・・ 有識者に直接ファイルを渡せる機会を見つけようと思います