ST
Uploaded byShin Tanigawa
PDF, PPTX565 views

タスクマネージャーの上級版!Process Explorerの紹介

Windowsサーバ運用では欠かせないマイクロソフトが配布しているタスクマネージャーの上級版とも言える"Process Explorer"の機能を紹介します。障害解析で威力を発揮します。

Embed presentation

Download as PDF, PPTX
“タスクマネージャ”の上級版! Process Explorerの紹介 2 0 2 0 . 6 . 2 5 た に や ん OSSPlaza.com
0. 本スライドでは Process Explorerを、Windows Server (2019)上での動作を 簡単に紹介します。 Process Explorerで何ができるかわかるようになります。 前提: ・注) 本書でのバージョンは撮影日のもので、視聴日とは異なる場 合があります。適宜読み替えてください。 ・注)動画をご覧の方へ:マウスポインタやコマンドが見にくい場合が あります。スクリーンショットを入れたスライドをご用意していますの でスライドもご覧ください。URLは概要欄に。 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 2OSSPlaza.com
1. Process Explorer C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 3OSSPlaza.com サイト: https://docs.microsoft.com/en-us /sysinternals/downloads/process-explorer • マイクロソフトが配布しているサーバの状況分析ツール • 「タスクマネージャー」の高機能版だと思って良い • タスクマネージャーよりも、細かい情報が取れ、障害時に威力を発揮
2. ダウンロードと起動 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 4 https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer OSSPlaza.com ダウンロード、をクリック ファイルを保存する
2.ダウンロードと起動 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 5OSSPlaza.com これを全て展開 ProcessExplorerというフォルダがで き、その下にモジュールが配置 そのままprocexp64をダブルクリックで 起動する ProcessExplorerというZIPファイル がダウンロードされる
2.ダウンロードと起動 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 6 初回起動時はライセンスのでてくる のでAgreeする。 OSSPlaza.com 起動する。
2.ダウンロードと起動 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 7 初回起動時はライセンスのでてくる のでAgreeする。 OSSPlaza.com 起動する。
2.ダウンロードと起動(おまけ) C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 8OSSPlaza.com https://j10n.net/entry/20100327/processexplorer メニューを日本語化したい方はこちらにパッチを 公開されている方がいますのでご参考に。 なお、本スライドでは日本語化はせず、英語の まま行います。 日本語化にはメリットもありますが、デメリットも あります。たにやんの仕事的には英語の方がメ リットがあるので、これに限らずツール類は基本 的に英語のまま使用しています。
3. 機能: (1) 表示 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 9OSSPlaza.com プロセスを階層構造で表示 プロセス名 CPU利用率 プライベートメモリ(そのプロセス専用で他 のプロセスと共有しないメモリ) ワーキングセット(物理メモリ上のメモリ領 域) PID(プロセスID) デスクリププション(説明) 開発元 左から順に
3. 機能: (2) プロセスの状態 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 10OSSPlaza.com 各行の色(デフォルト):ブルーは選択中 新しく出現したプロセス 削除されたプロセス Windwowサービス ProcessExplorer実行者と 同じ実行者 サスペンドされたプロセス パックされたイメージ (圧縮されたりして中身がわか りにくいもの) WIndows8アプリケーションで 新しいAPIを使っている 同時に条件を満たす場合は優先度の高い色を表示
3. 機能: (3) リソース状況 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 11OSSPlaza.com リソースモニタ(勝手に命名)。 左から、CPU利用率、システム・コミット、物理 メモリ、I/O、ネットワーク、ディスクアクセス、 GPUなど 各々、クリックすると詳細を出す(例:下、シス テム・コミットをクリックすると出る)
3. 機能: (4) プロセスに対する操作 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 12OSSPlaza.com “Process”または各プロセスを選んで右ク リック。 優先度変更 プロセス単体また はプロセスツリー のキル プロセスリスター ト、サスペンド フルダンプまたはミニダ ンプ マルウェアかのチェック より詳細情報の表示(次ページ)ネットでプロセス名を検索する
3. 機能: (5) 詳細情報(Properties) C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 13OSSPlaza.com Process > Properties…で出力される情報(部分) Image: コマンドパスやコマンド Prformance: 優先度、実行時間、メモリ サイズI/Oなど Prformance Graph: CPUゆあメモリI/O状況 Disk and Network: ネットワーク, ディスクI/O Services: プロセスに紐づくサービス名 Threads: スレッドIDや状況、キル、サ スペンドの操作 TCP/IP: Macアドレスやポートの状 況 Environment: 環境変数
3. 機能: (6) DLLとハンドラ C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 14OSSPlaza.com Viewメニューから、Show Lower Paneで下の ウィンドウを表示DLL一覧、または、ハンドラの 一覧 上で選んだプロセスのハンドラの一覧 これは上で選んだプロセスで 使っているDLLの一覧 上のボタンでも切り替え できるが、ここでも可 この各々の項目も右クリック でさらに詳細情報を表示し たり、ウィルスチェクしたり、ハ ンドラを止めたりできる
3. 機能: (7) 階層表示 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 15OSSPlaza.com Process,CPUなどタイトルをクリックすると項目で ソートし、プロセスがまとまめられる。“Show Prcess Tree”ボタンで再度階層を展開する。
3. 機能: (8) 検索 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 16OSSPlaza.com 検索窓にハンドラやDLL名(の一部)を入力すると 関連するDLLやハンドラが出力される。 ファイルを開いているプロセスやハンドラを表示。 そこからプロセス表示に飛んで、 ハンドラを閉じることで解放するなどができる。
3. 機能: (9) ウインドウからプロセスを探す C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 17OSSPlaza.com このマークを目的のウインドウにドラッグすると、 ウインドウに紐づいたプロセスが選択される フリーズしたウインドウのプロセスを探すときなどに “Find Window Process”をワードパッド にドラッグ “ワードパッド”が選択状 態に
3. 機能: (10) マルウェアの簡易チェック(署名確認) C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 18OSSPlaza.com Option > View Image Sygnatureにチェックを入れ ると、 署名の確認結果を表示。
3. 機能: (11) マルウェアの簡易チェック(VirusTotal.com) C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 19OSSPlaza.com Options > VirusTotal.com >Check VirusTotal.comをオンにする。 (サービス条件に合意、という画面がでるので合意す る) ファイルのハッシュ値を Virustotal.comに送 付し、問題が報告され ていないかどうかを表示 する。 例えば、0/73、は73の ベンダー情報で、検知 した問題は0件。 プロセスメニュー(右クリッ ク)で、個別プロセスでも 表示可。3-(4)参考。
4. まとめ C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 20OSSPlaza.com • Process Explorerは、プロセスに関する解析をする場合 の強力なツールです。 • プロセスで使っているファイルや関連するDLL、各々の状態 をかなり細かく確認したり、キルなどの操作ができます。 • マルウェアの疑いがあるプロセスのチェックもできます。
OSSPlazaでは、お役に立ちそうな情報発信しています。 Webサイト https://www.ossplaza.com/ Twitter https://www.twitter.com/ossplaza Youtube https://www.youtube.com/ にて、”OSSちゃんねる”を検索 Slideshare https://www.slideshare.net/ (twitter/youtubeにリンクを貼ります) C O P Y R I G H T ( C ) 2 0 2 0 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D 21 OSSPlaza.com OSSPlaza.com
C O P Y R I G H T ( C ) 2 0 2 0 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D 22OSSPlaza.com OSSPlaza.com
弊社で「サーバ構築」する際、OSの準備まではお客様に用意していただくのですが、その際本 書の手順+ネットワーク設定、までをお願いしています(仮想環境はVirtualBoxではないこと が多いのでお客様にお願いしています)。 本書中に登場する会社名、製品名は各社の登録商標または商標です。本文中では ®©TMなどの記載は省略しています。 本書は、エイチスリーパートナーズ有限会社にて行なったインストールなどの結果を掲載してい るのみであり、内容については一切保証していません。読者の責任においてご利用ください。 著作者人格権はエイチスリーパートナーズに帰属しますが、個人や社内で自由に複写して構 いません。 C O P Y R I G H T ( C ) 2 0 2 0 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D 23 注意:

More Related Content

PDF
Vue.js で XSS
bytobaru_yuta
 
PDF
オープンソースで提供される第二のJVM:OpenJ9 VMとIBM Javaについて
byTakakiyo Tanaka
 
PPTX
RenderPool Radeon ProRender for Blender 使い方マニュアル
byMORGENROTInc
 
PDF
基礎から見直す ASP.NET MVC の単体テスト自動化方法 ~ Windows Azure 関連もあるかも~
bynormalian
 
PDF
Media Art II openFrameworks 複数のシーンの管理・切替え
byAtsushi Tadokoro
 
PPTX
最新UE4タイトルでのローカライズ事例 (UE4 Localization Deep Dive)
byエピック・ゲームズ・ジャパン Epic Games Japan
 
PPTX
AR-Frame x AR.js入門
byTakashi Yoshinaga
 
PDF
Design Sprint 概要 / デザインスプリント概要
byTakaaki Umada
 
Vue.js で XSS
bytobaru_yuta
 
オープンソースで提供される第二のJVM:OpenJ9 VMとIBM Javaについて
byTakakiyo Tanaka
 
RenderPool Radeon ProRender for Blender 使い方マニュアル
byMORGENROTInc
 
基礎から見直す ASP.NET MVC の単体テスト自動化方法 ~ Windows Azure 関連もあるかも~
bynormalian
 
Media Art II openFrameworks 複数のシーンの管理・切替え
byAtsushi Tadokoro
 
最新UE4タイトルでのローカライズ事例 (UE4 Localization Deep Dive)
byエピック・ゲームズ・ジャパン Epic Games Japan
 
AR-Frame x AR.js入門
byTakashi Yoshinaga
 
Design Sprint 概要 / デザインスプリント概要
byTakaaki Umada
 

What's hot

PPTX
運用構築技術者の為のPSプログラミング第1回
byShigeharu Yamaoka
 
PDF
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
byMasaya Tahara
 
PPTX
さくっと理解するSpring bootの仕組み
byTakeshi Ogawa
 
PDF
起業家向けベンチャーキャピタル入門 (1) VCの仕組み編
byTakaaki Umada
 
PDF
Java仮想マシンの実装技術
byKiyokuni Kawachiya
 
PPTX
C# 8.0 非同期ストリーム
by信之 岩永
 
PPT
Javaバイトコード入門
byKota Mizushima
 
PPTX
Friendlyで始めるwindowsアプリシステムテスト自動化+内部使用技術解説
byTatsuya Ishikawa
 
PDF
第1回UE4名古屋勉強会
byMasahiko Nakamura
 
PDF
Inside FastEnum
byTakaaki Suzuki
 
PDF
初心者向け UE4 映像制作での シーケンサー と Movie Render Queue の使い方
byエピック・ゲームズ・ジャパン Epic Games Japan
 
PDF
Flutterで単体テストを行う方法とGitHub Actionsを使った自動化
byShinnosuke Tokuda
 
PPTX
UE4エンジンソースをMacでビルドしてみた
byYuuki Ogino
 
PDF
チームワーク、努力、勝利 / スタートアップのチームワークとコミュニケーション
byTakaaki Umada
 
PDF
Office 365 勉強会「いまさらきけない? SharePoint の基礎のキソ」
byKazuhiko Nakamura
 
PPTX
クラウド時代の SharePoint 開発に備えよう
byHiroaki Oikawa
 
PPTX
CQRS+ESをAkka Persistenceを使って実装してみる。
byMatsushita Satoshi
 
PDF
DXの推進において企業内に求められる人材やデジタル人材の育て方
byHironori Washizaki
 
PPTX
如何將現有 Web form 轉換到mvc
byGelis Wu
 
PDF
アイデア創出ワークショップ(2021年、大阪、好きと得意からスモールビジネスのアイデアを発想する)
byRikie Ishii
 
運用構築技術者の為のPSプログラミング第1回
byShigeharu Yamaoka
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
byMasaya Tahara
 
さくっと理解するSpring bootの仕組み
byTakeshi Ogawa
 
起業家向けベンチャーキャピタル入門 (1) VCの仕組み編
byTakaaki Umada
 
Java仮想マシンの実装技術
byKiyokuni Kawachiya
 
C# 8.0 非同期ストリーム
by信之 岩永
 
Javaバイトコード入門
byKota Mizushima
 
Friendlyで始めるwindowsアプリシステムテスト自動化+内部使用技術解説
byTatsuya Ishikawa
 
第1回UE4名古屋勉強会
byMasahiko Nakamura
 
Inside FastEnum
byTakaaki Suzuki
 
初心者向け UE4 映像制作での シーケンサー と Movie Render Queue の使い方
byエピック・ゲームズ・ジャパン Epic Games Japan
 
Flutterで単体テストを行う方法とGitHub Actionsを使った自動化
byShinnosuke Tokuda
 
UE4エンジンソースをMacでビルドしてみた
byYuuki Ogino
 
チームワーク、努力、勝利 / スタートアップのチームワークとコミュニケーション
byTakaaki Umada
 
Office 365 勉強会「いまさらきけない? SharePoint の基礎のキソ」
byKazuhiko Nakamura
 
クラウド時代の SharePoint 開発に備えよう
byHiroaki Oikawa
 
CQRS+ESをAkka Persistenceを使って実装してみる。
byMatsushita Satoshi
 
DXの推進において企業内に求められる人材やデジタル人材の育て方
byHironori Washizaki
 
如何將現有 Web form 轉換到mvc
byGelis Wu
 
アイデア創出ワークショップ(2021年、大阪、好きと得意からスモールビジネスのアイデアを発想する)
byRikie Ishii
 

Similar to タスクマネージャーの上級版!Process Explorerの紹介

PDF
インストールしてみたWindows Server 2019 on VirtualBox
byShin Tanigawa
 
PDF
シンプルでシステマチックな Linux 性能分析方法
byYohei Azekatsu
 
PDF
超簡単!Apache httpサーバをWindows Serverにインストール
byShin Tanigawa
 
PPTX
Linux Performance Analysis in 15 minutes
byYohei Azekatsu
 
PPTX
攻撃者の行動を追跡せよ -行動パターンに基づく横断的侵害の把握と調査- by 朝長 秀誠, 六田 佳祐
byCODE BLUE
 
PPTX
Process Monitor の使い方
by彰 村地
 
PDF
超簡単!ActivePerlをWindows Serverにインストール
byShin Tanigawa
 
PDF
超簡単! Strawberry PerlをWindowsにインストール
byShin Tanigawa
 
PDF
パケットキャプチャの定番! Wiresharkのインストールとミニ紹介
byShin Tanigawa
 
PPTX
Power shell の基本操作と処理の自動化 v2_20120514
byjunichi anno
 
PPTX
Powershell基礎_20180521用
byTetsu Yama
 
PDF
そのエラーやお困りごと、ツールを使えば解決できるかも! ~ Sysinternals や OS 標準ツールの徹底活用術 ~ (Microsoft de:c...
byTakamasa Maejima
 
PDF
Windows PowerShell 2.0 の基礎知識
byshigeya
 
PPTX
Windows クライアントのトラブルシューティングあれこれ
by彰 村地
 
PDF
PowerShellを使用したWindows Serverの管理
byjunichi anno
 
PDF
180729 jtf open-audit
byOSSラボ株式会社
 
PDF
James Windows10 elevator action final-jp
byPacSecJP
 
PDF
Windows PowerShell 2.0 の基礎知識
byshigeya
 
PDF
INF-028_そのエラーやお困りごと、ツールを使えば解決できるかも! ~Sysinternals や OS 標準ツールの徹底活用術~
bydecode2016
 
PDF
Windows 7 オプショナルツール 一挙紹介
byshigeya
 
インストールしてみたWindows Server 2019 on VirtualBox
byShin Tanigawa
 
シンプルでシステマチックな Linux 性能分析方法
byYohei Azekatsu
 
超簡単!Apache httpサーバをWindows Serverにインストール
byShin Tanigawa
 
Linux Performance Analysis in 15 minutes
byYohei Azekatsu
 
攻撃者の行動を追跡せよ -行動パターンに基づく横断的侵害の把握と調査- by 朝長 秀誠, 六田 佳祐
byCODE BLUE
 
Process Monitor の使い方
by彰 村地
 
超簡単!ActivePerlをWindows Serverにインストール
byShin Tanigawa
 
超簡単! Strawberry PerlをWindowsにインストール
byShin Tanigawa
 
パケットキャプチャの定番! Wiresharkのインストールとミニ紹介
byShin Tanigawa
 
Power shell の基本操作と処理の自動化 v2_20120514
byjunichi anno
 
Powershell基礎_20180521用
byTetsu Yama
 
そのエラーやお困りごと、ツールを使えば解決できるかも! ~ Sysinternals や OS 標準ツールの徹底活用術 ~ (Microsoft de:c...
byTakamasa Maejima
 
Windows PowerShell 2.0 の基礎知識
byshigeya
 
Windows クライアントのトラブルシューティングあれこれ
by彰 村地
 
PowerShellを使用したWindows Serverの管理
byjunichi anno
 
180729 jtf open-audit
byOSSラボ株式会社
 
James Windows10 elevator action final-jp
byPacSecJP
 
Windows PowerShell 2.0 の基礎知識
byshigeya
 
INF-028_そのエラーやお困りごと、ツールを使えば解決できるかも! ~Sysinternals や OS 標準ツールの徹底活用術~
bydecode2016
 
Windows 7 オプショナルツール 一挙紹介
byshigeya
 

More from Shin Tanigawa

PDF
超簡単!Apache TomcatをWindowsにインストール
byShin Tanigawa
 
PDF
超簡単!SubversionとTortoiseSVN入門(操作編1)
byShin Tanigawa
 
PDF
超簡単! JettyをWindowsにインストール
byShin Tanigawa
 
PDF
超簡単!Subversion入門 概念編
byShin Tanigawa
 
PDF
超簡単!SubversionとTortoiseSVN入門(操作編2)
byShin Tanigawa
 
PDF
超簡単! Bitnami RedmineをWindowsにインストール
byShin Tanigawa
 
PDF
超簡単!Subversion入門 準備編
byShin Tanigawa
 
PDF
超簡単! GitをWindowsにインストール
byShin Tanigawa
 
PDF
超簡単! インストールなしでRedmineを試す
byShin Tanigawa
 
PDF
Git入門-概念編
byShin Tanigawa
 
PDF
超簡単!OpenJDKをWindwos Serverにインストール
byShin Tanigawa
 
PDF
超簡単! MySQLをWindowsにインストール
byShin Tanigawa
 
PDF
超簡単!WildflyをWindows Serverにインストール
byShin Tanigawa
 
PDF
超簡単! PostgreSQLをWindowsにインストール
byShin Tanigawa
 
PDF
超簡単! Payara ServerをWindowsにインストール
byShin Tanigawa
 
PDF
超簡単! PythonをWindows Serverにインストール
byShin Tanigawa
 
PDF
超簡単!MariaDBをWindowsにインストール
byShin Tanigawa
 
PDF
超簡単! TortoiseGitをWindowsにインストール
byShin Tanigawa
 
PDF
超簡単! Redmineで体験 初めてのチケット管理
byShin Tanigawa
 
PDF
超簡単! Node.jsをWindowsにインストール
byShin Tanigawa
 
超簡単!Apache TomcatをWindowsにインストール
byShin Tanigawa
 
超簡単!SubversionとTortoiseSVN入門(操作編1)
byShin Tanigawa
 
超簡単! JettyをWindowsにインストール
byShin Tanigawa
 
超簡単!Subversion入門 概念編
byShin Tanigawa
 
超簡単!SubversionとTortoiseSVN入門(操作編2)
byShin Tanigawa
 
超簡単! Bitnami RedmineをWindowsにインストール
byShin Tanigawa
 
超簡単!Subversion入門 準備編
byShin Tanigawa
 
超簡単! GitをWindowsにインストール
byShin Tanigawa
 
超簡単! インストールなしでRedmineを試す
byShin Tanigawa
 
Git入門-概念編
byShin Tanigawa
 
超簡単!OpenJDKをWindwos Serverにインストール
byShin Tanigawa
 
超簡単! MySQLをWindowsにインストール
byShin Tanigawa
 
超簡単!WildflyをWindows Serverにインストール
byShin Tanigawa
 
超簡単! PostgreSQLをWindowsにインストール
byShin Tanigawa
 
超簡単! Payara ServerをWindowsにインストール
byShin Tanigawa
 
超簡単! PythonをWindows Serverにインストール
byShin Tanigawa
 
超簡単!MariaDBをWindowsにインストール
byShin Tanigawa
 
超簡単! TortoiseGitをWindowsにインストール
byShin Tanigawa
 
超簡単! Redmineで体験 初めてのチケット管理
byShin Tanigawa
 
超簡単! Node.jsをWindowsにインストール
byShin Tanigawa
 

Recently uploaded

PDF
20251122_OWASPNagoya_takei_ITU-T,X.1060,security
byOWASP Nagoya
 
PPTX
JavaScript/TypeScript実力強化書 2章のアップデート Forkwell Library
byYoshiki Shibukawa
 
PDF
Gluesync:RDBMS、NoSQL,データレイク間のリアルタイム・データレプリケーション
by株式会社クライム
 
PDF
最高峰のストレージとバックアップ:ARTESCA+Veeam:統合型ソフトウェア
by株式会社クライム
 
PDF
N2WS Backup & Recovery と Veeam Backup for AWS
by株式会社クライム
 
PDF
Veeam&WasabiでトリプルV: クラウドへのランサムウエア対策の決定コンビ
by株式会社クライム
 
20251122_OWASPNagoya_takei_ITU-T,X.1060,security
byOWASP Nagoya
 
JavaScript/TypeScript実力強化書 2章のアップデート Forkwell Library
byYoshiki Shibukawa
 
Gluesync:RDBMS、NoSQL,データレイク間のリアルタイム・データレプリケーション
by株式会社クライム
 
最高峰のストレージとバックアップ:ARTESCA+Veeam:統合型ソフトウェア
by株式会社クライム
 
N2WS Backup & Recovery と Veeam Backup for AWS
by株式会社クライム
 
Veeam&WasabiでトリプルV: クラウドへのランサムウエア対策の決定コンビ
by株式会社クライム
 

タスクマネージャーの上級版!Process Explorerの紹介

  • 1.
  • 2.
    0. 本スライドでは Process Explorerを、WindowsServer (2019)上での動作を 簡単に紹介します。 Process Explorerで何ができるかわかるようになります。 前提: ・注) 本書でのバージョンは撮影日のもので、視聴日とは異なる場 合があります。適宜読み替えてください。 ・注)動画をご覧の方へ:マウスポインタやコマンドが見にくい場合が あります。スクリーンショットを入れたスライドをご用意していますの でスライドもご覧ください。URLは概要欄に。 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 2OSSPlaza.com
  • 3.
    1. Process Explorer CO P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 3OSSPlaza.com サイト: https://docs.microsoft.com/en-us /sysinternals/downloads/process-explorer • マイクロソフトが配布しているサーバの状況分析ツール • 「タスクマネージャー」の高機能版だと思って良い • タスクマネージャーよりも、細かい情報が取れ、障害時に威力を発揮
  • 4.
    2. ダウンロードと起動 C OP Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 4 https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer OSSPlaza.com ダウンロード、をクリック ファイルを保存する
  • 5.
    2.ダウンロードと起動 C O PY R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 5OSSPlaza.com これを全て展開 ProcessExplorerというフォルダがで き、その下にモジュールが配置 そのままprocexp64をダブルクリックで 起動する ProcessExplorerというZIPファイル がダウンロードされる
  • 6.
    2.ダウンロードと起動 C O PY R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 6 初回起動時はライセンスのでてくる のでAgreeする。 OSSPlaza.com 起動する。
  • 7.
    2.ダウンロードと起動 C O PY R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 7 初回起動時はライセンスのでてくる のでAgreeする。 OSSPlaza.com 起動する。
  • 8.
    2.ダウンロードと起動(おまけ) C O PY R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 8OSSPlaza.com https://j10n.net/entry/20100327/processexplorer メニューを日本語化したい方はこちらにパッチを 公開されている方がいますのでご参考に。 なお、本スライドでは日本語化はせず、英語の まま行います。 日本語化にはメリットもありますが、デメリットも あります。たにやんの仕事的には英語の方がメ リットがあるので、これに限らずツール類は基本 的に英語のまま使用しています。
  • 9.
    3. 機能: (1)表示 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 9OSSPlaza.com プロセスを階層構造で表示 プロセス名 CPU利用率 プライベートメモリ(そのプロセス専用で他 のプロセスと共有しないメモリ) ワーキングセット(物理メモリ上のメモリ領 域) PID(プロセスID) デスクリププション(説明) 開発元 左から順に
  • 10.
    3. 機能: (2)プロセスの状態 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 10OSSPlaza.com 各行の色(デフォルト):ブルーは選択中 新しく出現したプロセス 削除されたプロセス Windwowサービス ProcessExplorer実行者と 同じ実行者 サスペンドされたプロセス パックされたイメージ (圧縮されたりして中身がわか りにくいもの) WIndows8アプリケーションで 新しいAPIを使っている 同時に条件を満たす場合は優先度の高い色を表示
  • 11.
    3. 機能: (3)リソース状況 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 11OSSPlaza.com リソースモニタ(勝手に命名)。 左から、CPU利用率、システム・コミット、物理 メモリ、I/O、ネットワーク、ディスクアクセス、 GPUなど 各々、クリックすると詳細を出す(例:下、シス テム・コミットをクリックすると出る)
  • 12.
    3. 機能: (4)プロセスに対する操作 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 12OSSPlaza.com “Process”または各プロセスを選んで右ク リック。 優先度変更 プロセス単体また はプロセスツリー のキル プロセスリスター ト、サスペンド フルダンプまたはミニダ ンプ マルウェアかのチェック より詳細情報の表示(次ページ)ネットでプロセス名を検索する
  • 13.
    3. 機能: (5)詳細情報(Properties) C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 13OSSPlaza.com Process > Properties…で出力される情報(部分) Image: コマンドパスやコマンド Prformance: 優先度、実行時間、メモリ サイズI/Oなど Prformance Graph: CPUゆあメモリI/O状況 Disk and Network: ネットワーク, ディスクI/O Services: プロセスに紐づくサービス名 Threads: スレッドIDや状況、キル、サ スペンドの操作 TCP/IP: Macアドレスやポートの状 況 Environment: 環境変数
  • 14.
    3. 機能: (6)DLLとハンドラ C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 14OSSPlaza.com Viewメニューから、Show Lower Paneで下の ウィンドウを表示DLL一覧、または、ハンドラの 一覧 上で選んだプロセスのハンドラの一覧 これは上で選んだプロセスで 使っているDLLの一覧 上のボタンでも切り替え できるが、ここでも可 この各々の項目も右クリック でさらに詳細情報を表示し たり、ウィルスチェクしたり、ハ ンドラを止めたりできる
  • 15.
    3. 機能: (7)階層表示 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 15OSSPlaza.com Process,CPUなどタイトルをクリックすると項目で ソートし、プロセスがまとまめられる。“Show Prcess Tree”ボタンで再度階層を展開する。
  • 16.
    3. 機能: (8)検索 C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 16OSSPlaza.com 検索窓にハンドラやDLL名(の一部)を入力すると 関連するDLLやハンドラが出力される。 ファイルを開いているプロセスやハンドラを表示。 そこからプロセス表示に飛んで、 ハンドラを閉じることで解放するなどができる。
  • 17.
    3. 機能: (9)ウインドウからプロセスを探す C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 17OSSPlaza.com このマークを目的のウインドウにドラッグすると、 ウインドウに紐づいたプロセスが選択される フリーズしたウインドウのプロセスを探すときなどに “Find Window Process”をワードパッド にドラッグ “ワードパッド”が選択状 態に
  • 18.
    3. 機能: (10)マルウェアの簡易チェック(署名確認) C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 18OSSPlaza.com Option > View Image Sygnatureにチェックを入れ ると、 署名の確認結果を表示。
  • 19.
    3. 機能: (11)マルウェアの簡易チェック(VirusTotal.com) C O P Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 19OSSPlaza.com Options > VirusTotal.com >Check VirusTotal.comをオンにする。 (サービス条件に合意、という画面がでるので合意す る) ファイルのハッシュ値を Virustotal.comに送 付し、問題が報告され ていないかどうかを表示 する。 例えば、0/73、は73の ベンダー情報で、検知 した問題は0件。 プロセスメニュー(右クリッ ク)で、個別プロセスでも 表示可。3-(4)参考。
  • 20.
    4. まとめ C OP Y R I G H T ( C ) 2 0 1 9 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D . 20OSSPlaza.com • Process Explorerは、プロセスに関する解析をする場合 の強力なツールです。 • プロセスで使っているファイルや関連するDLL、各々の状態 をかなり細かく確認したり、キルなどの操作ができます。 • マルウェアの疑いがあるプロセスのチェックもできます。
  • 21.
  • 22.
    C O PY R I G H T ( C ) 2 0 2 0 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D 22OSSPlaza.com OSSPlaza.com
  • 23.
    弊社で「サーバ構築」する際、OSの準備まではお客様に用意していただくのですが、その際本 書の手順+ネットワーク設定、までをお願いしています(仮想環境はVirtualBoxではないこと が多いのでお客様にお願いしています)。 本書中に登場する会社名、製品名は各社の登録商標または商標です。本文中では ®©TMなどの記載は省略しています。 本書は、エイチスリーパートナーズ有限会社にて行なったインストールなどの結果を掲載してい るのみであり、内容については一切保証していません。読者の責任においてご利用ください。 著作者人格権はエイチスリーパートナーズに帰属しますが、個人や社内で自由に複写して構 いません。 C O PY R I G H T ( C ) 2 0 2 0 O S S P L A Z A . C O M A L L R I G H T R E S E R V E D 23 注意: