Hello there, ('ω')ノ

 

マルウェアの調査に活用できる1つの手法として。

プロセス生成コントロールというものがあるらしく。

まずは、下記のURLからスクリプトをダウンロードして。

　https://github.com/felixweyne/ProcessSpawnControl

 

 

このPowerShellスクリプトは、マルウェアの実行を制御できるようで。

それをプロセスエクスプローラで確認できるとか。

 

 

次にプロセスエクスプローラを起動して。

 

 

ダウンロードした『ProcessSpawnControl.ps1』を右クリックでPowerShellで実行して。

 

実行ポリシーを変更して。

 

 

次にメモ帳を起動して。

起動したことをプロセスエクスプローラで確認すると。

『Suspended』の文字が。

当然ながらメモ帳は使えず。

しばらくすると、さきほど起動したスクリプトからメッセージが表示され。

プロセスIDを見るとメモ帳のプロセスIDと合致。

なので、『Allow run』を押して。

 

 

『Suspended』の文字が消えて、メモ帳が使えるようになった。

 

 

これらのツールを組み合わせて使用​​すれば。

潜在的なマルウェア実行可能ファイルがどのように機能するかとか。

どのような実行パスを使用するかを理解できるようで。

 

Best regards, (^^ゞ