タスクマネージャーに表示されない隠しプロセスを検出する方法

明らかな理由もなく、PC の動作が遅くなっています。何も開いていないのにRAM使用量が急増したり、ゲーム中にラグが発生したりする場合は、通常、何か問題が発生している最初の兆候です。原因を探してタスクマネージャーを開いても、特に異常な点は見当たらないことがよくあります。そこで疑念が生じます。バックグラウンドで隠れたプロセスが動作している可能性があります。

Windows では、数十のサービスとプロセスが常に実行されます。 バックグラウンドでは様々なプログラムが動作しています。中には完全に正当なものもあれば、潜在的に危険なものや、不適切にアンインストールされたソフトウェアの残骸などもあります。標準のタスクマネージャーで表示されるものを超えて、実際に何が動作しているのかを検出する方法を学ぶことは、パフォーマンスの向上、セキュリティの強化、そして潜伏しようとするマルウェアの駆除の鍵となります。さあ、その詳細を学びましょう。 タスク マネージャーに表示されない隠しプロセスを検出する方法。

隠れたプロセスとは何ですか? また、隠れたプロセスが必ずしも明確に表示されないのはなぜですか?

コンピュータ上で実行されるすべてのプログラムは、少なくとも1つのプロセスを生成します。 ブラウザやゲームから小さなシステムサービスまで、機能するためにメモリ内に残るプロセスです。問題は、これらのプロセスの多くがChrome.exeやSpotify.exeのような「人間らしい」名前ではなく、Windowsのものなのか、正規のプログラムなのか、それともマルウェアなのかを見分けるのが難しい、謎めいた識別子を持っていることです。

さらに、一見しただけでは分からないプロセスもあります。 タスクマネージャーの「プロセス」タブでは、プロセスがグループ化されていたり、一般的な名前で表示されていたり、システムサービスに依存していたり​​するため、プロセスが目立たない場所に表示されてしまうことがあります。一部のマルウェアはこれを悪用し、正当なプロセスにコードを挿入したり、曖昧なサービスの背後に隠れたりすることで、一般ユーザーにとって見つけるのが非常に困難になっています。

プログラムをアンインストールした後でもバックグラウンドで実行され続けるスタートアップタスク、サービス、レジストリエントリなど、「ゴーストレムナント（残骸）」が存在する可能性があります。インストールされたプログラムは表示されませんが、「Program」などと呼ばれる汎用的なプロセスが表示され、有用なサービスを提供せずにリソースを消費しています。

隠れたプロセスがネットワークに影響を与えることもよくある: 不可解な接続、インターネットでダウンロードや通信を行っていないはずの帯域幅の使用、またはコンピューターが理論上休止状態にあるときに CPU とメモリの消費量が説明のつかない急増が発生する。

タスクマネージャーを最大限に活用する: Windowsから実際に見えるもの

高度なツールに進む前にタスクマネージャー自体の機能を最大限に活用する価値はあります。Windows 10と11では、デフォルト設定をいくつか変更し、どこを確認すればよいかを知っていれば、タスクマネージャーは見た目よりもはるかに強力です。

すぐに開けるにはキーボードショートカットを使用する CTRL + SHIFT + ESCタスクバーを右クリックして「タスクマネージャー」を選択することもできます。簡易モードで開いた場合は、「詳細」をクリックすると、すべてのタブを含む完全なインターフェースが表示されます。

「プロセス」タブでは概要が表示されます アプリケーションごとのCPU、RAM、ディスク、GPU、ネットワークの使用状況。ここでは「大きなプレイヤー」（ゲーム、ブラウザ、動画編集ソフトなど）を簡単に特定できます。しかし、疑わしいプロセスを捕捉したい場合は、もう少し踏み込んだ分析が必要です。

重要なステップは、「すべてのユーザーのプロセスを表示する」を有効にすることです。 （古いバージョンのWindowsの場合）または、タスクマネージャーで、異なるアカウントとサービスで実行されているすべてのものが表示されていることを確認してください。これにより、マルウェアに利用される可能性のあるシステムサービスを含む、より完全なリストが表示されます。

詳細タブ、リソースモニター、ネットワーク分析

タスクマネージャーの「詳細」タブ 実行中のプロセスの完全なリストが実際に表示される場所です。各実行ファイルはグループ化されず、内部名で表示されます。これは、オペレーティングシステム自体が認識しているものに最も近い表示方法です。

このタブから、異常と思われるプロセスを見つけることができます。 見覚えのないプロセス、非常に一般的な名前のプロセス、あるいは異常にリソースを消費しているプロセスを探してください。プロセスを右クリックすると「ファイルの場所を開く」オプションが表示されます。これは、その実行ファイルが実際にどこから来たのかを知るために不可欠です。

もう 1 つの非常に便利な列は、「イメージ パス名」列です。 （一部の翻訳では「画像パス」と表示されます）。列ヘッダーを右クリックし、「列を選択」を選択してこのオプションにチェックを入れると、各プロセスのファイルのフルパスが表示されます。

ネットワークの挙動をより深く理解するために「パフォーマンス」タブを開き、「リソースモニターを開く」をクリックします。リソースモニターの「ネットワーク」タブでは、どのプロセスが接続を確立しているか、送受信しているトラフィック量、そしてどのIPアドレスに接続しているかを確認できます。見慣れないアプリケーションが通常とは異なるアドレスに接続していることが検出された場合は、何らかの問題が発生している可能性が高いです。

スタートアッププログラムとアンインストールされていないソフトウェアを確認する

多くの隠しプロセスが Windows の起動プロセスをすり抜けます。そのため、コンピュータの電源を入れるたびに自動的に起動します。そのため、「すべてを閉じた」後でもRAMの使用率が非常に高くなったり、システムが使用可能になるまでに長い時間がかかったりすることがあります。

タスクマネージャーには「スタートアップ」セクションがあります （Windows 11 ではサイドメニューに「スタートアップ アプリ」として表示され、Windows 10 では「スタートアップ」タブとして表示されます。）ログイン時に自動的に起動するすべてのプログラムが表示されます。

グラフィック カード (NVIDIA、AMD)、サウンド カード、またはマウス用のユーティリティが見つかるのは普通のことです。また、毎日使うので自動的に起動させたいアプリもあります。しかし、明確な名前のないエントリや、「プログラム」のような一般的なプロセス、あるいはずっと前にアンインストールしたプログラムへの参照が表示されている場合は、注意が必要です。

右クリックすると、スタートアップ項目を無効にすることができます。 不要なプログラムを削除してください。これはプログラムを削除するのではなく、Windowsで起動しないようにするだけです。この方法は、その謎のプロセスが遅延や過剰なRAM使用の原因になっているかどうかを確認する簡単な方法です。

プログラムが誤ってアンインストールされた場合Windowsでは、スタートアッププログラム、スケジュールされたタスク、またはサービスに痕跡が残り、実行ファイルが存在しないにもかかわらず、Windowsが起動を試み続けることがよくあります。これらは「ゴーストプロセス」または「残留プロセス」と呼ばれます。これらを正しく識別するには、より専門的なツールが必要です。

Windows 用 Autoruns: ファントムプロセスと残存マテリアルを見つけて削除する

Microsoft は、Autoruns for Windows という非常に強力なツールを無料で提供しています。Mark Russinovich が作成した Sysinternals コレクションの一部であるこのアプリケーションは、システムの起動時に実行されるものや、Windows の重要なポイントにフックするものすべてを表示します。

Microsoft Sysinternalsの公式ウェブサイトより AutorunsはZIP形式でダウンロードできます。解凍後、お使いのシステムに応じて「Autoruns.exe」または「Autoruns64.exe」を開いてください。インストールは不要で、ポータブル実行ファイルです。

Autorunsを開くと、膨大なエントリのリストが表示されますスタートアップ プログラム、サービス、エクスプローラー拡張機能、Office アイテム、ドライバー、スケジュールされたタスクなど。上部では、カテゴリ (Office、サービス、ネットワーク プロバイダー、LSA、印刷サービスなど) 別にフィルターできます。

黄色でマークされた入口には特に注意してください。これらは多くの場合、システムに存在しないプロセスやパスに対応しています。例えば、急いでアンインストールされたソフトウェアの残骸、実行され続ける自動プロセス、破損したパスなどです。また、重要なコンポーネントや特殊なコンポーネントを示す要素は、他の色で表示されます。

明らかに残存または疑わしい入口を発見した場合 （例えば、既に削除したプログラムや不明なコンポーネントなど）右クリックすると、コンテキストメニューが表示されます。「削除」をクリックして削除したり、ファイルの場所を開いたり、ウイルススキャンを実行したり、実行ファイルに関する情報をオンラインで検索したりといったオプションがあります。

オートランは非常に強力ですが、何をしているのかわかっていないと危険でもあります。作者自身も、この作業は技術者、あるいは少なくともある程度の経験を持つユーザーに依頼することを推奨しています。重要なシステムエントリ、GPUドライバー、あるいはハードウェアコンポーネントを削除すると、一部の機能が利用できなくなったり、Windowsが正常に起動しなくなったりする可能性があります。

利点は、少し注意すればシステムを掃除できることです 不要になったアプリケーションの残骸を削除し、ファントム起動プロセスを排除し、従来のタスク マネージャーでは明確に判別できない疑わしい自動化を検出します。

プロセス エクスプローラー: Microsoft の「スーパーチャージ タスク マネージャー」

タスクマネージャーが役に立たない場合Microsoftが直接提供する公式代替ツールは、Sysinternalsスイートのもう一つの逸品であるProcess Explorerです。これは、各プロセスを完全に制御し、非常に詳細な情報を必要とするシステム管理者や上級ユーザー向けに設計されています。

Process Explorer は、Sysinternals Web サイトからダウンロードできます。 圧縮ファイルで提供されます。任意のフォルダに解凍し、システムが64ビット版の場合は「procexp64.exe」（32ビット版の場合は「procexp64.exe」）を実行してください。インストールは不要ですが、詳細を確認するには管理者として実行することをお勧めします。

インターフェースは階層的なプロセスツリーを表示しますどのプログラムがどのプログラムを起動したか、どのスレッドを開いているか、どのDLLを使用しているかなど、様々な情報を明確に確認できます。各プロセスは種類に応じて色分けされており、これらの色は「オプション」>「色の設定」メニューから設定できます。

Process Explorerの大きな利点の1つは 実行可能ファイルの場所を開き、セキュリティ プロパティ、内部テキスト文字列、アクセス記述子を表示できるほか、コマンド ラインから実行可能ファイルを操作したり、高度な分析のためにメモリ ダンプを生成したりすることもできます。

タスクマネージャーを完全に置き換えたい場合オプションメニューから「タスクマネージャーを置き換える」を選択できます。その後、ショートカットキーCtrl + Shift + Escを使用すると、Windows標準のタスクマネージャーの代わりにProcess Explorerが開きます。

マルウェア検出のための Process Explorer と VirusTotal の統合

Process Explorer は、実行中のものを確認するだけのものではありません。また、信頼性を判断するのにも役立ちます。数年前に導入された優れた機能の一つは、数十のウイルス対策エンジンを同時に使ってファイルを分析する有名なサービスであるVirusTotalとの統合です。

この統合を有効にするにはProcess Explorerを開き、「オプション」メニュー > 「VirusTotal」に進みます。分析のためにプロセスハッシュをVirusTotalに送信するオプションを有効にします（現在のバージョンでは、ファイルフィンガープリントのみを送信することで安全に実行されます）。

これを行うと、メイン ウィンドウに新しい列が追加されます。 各プロセスの分析結果が表示されます。「0/70」、「1/70」などの表示は、ウイルス対策エンジンが疑わしいと判定した合計数を示します。

緑色で表示されるプロセス、または検出数が0のプロセス これらは一般的にクリーンであると考えられていますが、誤検知の可能性は常に存在します。プロセスが赤色で表示されたり、複数の検出が行われたりした場合は、マルウェアである可能性が非常に高く、少なくとも調査する価値があります。

VirusTotalの結果をクリックすると次に、分析ページが開き、どのエンジンがそれを検出したか、どのマルウェア ファミリに属している可能性があるか、観察された動作などの詳細情報が表示されます。この情報は、プロセスを終了してウイルス対策ソフトウェアでより詳細なクリーンアップを実行するかどうかを判断する上で非常に役立ちます。

Process Explorerを使用してマルウェアのパスを発見する方法

実験環境または仮想マシン学生やセキュリティアナリストがマルウェアの検出や動作の調査にProcess Explorerを使用するのはよくあることです。典型的なタスクは、悪意のある実行ファイルの正確なパスを見つけ、それを逆アセンブラにロードすることです。

通常は、疑わしいプロセスを見つけるだけで十分です。 リスト内で右クリックし、「プロパティ」または「ファイルの場所を開く」を使用して、バイナリがどのフォルダにあるかを確認します。そこから、それを別の管理された環境にコピーし、IDA、Ghidra、その他の逆アセンブラなどのツールを使用して分析できます。

問題は、 ファイルレスマルウェア ルートを隠そうとするこれは、システムを操作したり、正当なプロセスにコードを挿入したりすることで発生する可能性があります。このような場合、Process Explorer ではプロセスは表示されますが、ソース実行ファイルが明確に特定されない場合や、不完全な情報が表示される場合があります。

このような場合は、複数のツールを組み合わせることをお勧めします。: レジストリ (HKCU および HKLM Run および RunOnce キー) を確認し、スケジュールされたタスクをチェックし、Autoruns を使用して起動時に何が起動されるかを確認し、必要に応じて、特定のマルウェア分析ツールまたは高度なシステム監視機能を備えた仮想マシンに頼ります。

いずれにせよ、疑わしい動作をするプロセスを検出した場合 VirusTotal がファイルを悪意のあるファイルとして検出した場合、まずは影響を受けたマシンをネットワークから隔離し、可能であればプロセスを終了させて​​から、専用のセキュリティソリューションでサンプルをスキャンまたは削除してください。Process Explorer の詳細については、以下をご覧ください。 公式 Windows ウェブサイト。

隠しファイルとフォルダを表示する：「Streamerdata」マルウェアを使用した実例

一部のマルウェアはプロセスとして隠れるだけではなくこれらのマルウェアは、削除を困難にするためにフォルダやファイルを隠すだけでなく、それらを隠蔽します。典型的な例としては、ディスクのルートディレクトリに「C:\Streamerdata」のような隠しディレクトリを作成し、システム全体に空のショートカットを複製する感染が挙げられます。

このタイプのシナリオでは、ウイルス対策は継続的に脅威を検出します （例えばWin64:Malware-gen）はアーカイブに送られ、削除されます…しかし、すぐにまた現れます。その間、システムの動作が遅くなり、見慣れないフォルダやショートカットが出現し、タスクマネージャーに偽の「ウイルス対策ツール」という名前を持つプロセスが表示されることにも気づきます。

一部のユーザーが使用したテクニック ドライブ上のすべてのファイルから隠し属性、システム属性、読み取り専用属性を削除するコマンドを含む.batファイルを作成します。次のような内容です。

属性 -r -a -h -s U:\*.* /S /D （Uは駆除対象のドライブです）。管理者として実行すると、以前は完全に非表示だった悪意のあるフォルダも含め、すべてが強制的に表示されるようになり、手動で削除できるようになります。

こうしたタイプのスクリプトを過度に使用することの欠点 これにより、通常はセキュリティ上の理由から非表示になっている多くのシステム フォルダーとファイル (構成フォルダー、desktop.ini ファイルなど) も公開されます。注意せずに不要なものを削除すると、システムが不安定になる可能性があります。

「Streamerdata」の例では、 「デスクトップ」ファイル（desktop.ini）がデスクトップや様々なフォルダに出現し始め、システム自体も起動時にマルウェアフォルダを見つけようとした際にエラーを表示しました。マルウェアフォルダは既に削除されていました。これは、何をしているのかを正しく理解せずに手動でクリーンアップを行うと、意図しない結果を招く可能性があることを示す明確な例です。

同じような状況に陥った場合推奨されるアプローチは、優れたウイルス対策またはマルウェア対策スイート（Malwarebytes、適切に更新されたWindows Defenderなど）とAutorunsのようなスタートアップクリーンアップツールを組み合わせることです。また、属性を大幅に変更した場合は、フォルダオプションを再設定するか、次のようなツールを使用します。 ウィネロ・トゥルーカー 日常的に表示したり、アクセスしたりすべきではない重要なシステム ファイルを再び非表示にします。

レコードの制御とその他の補完的な技術

隠されたプロセスと永続的なマルウェア 多くの場合、Windowsレジストリは繰り返し起動するために利用されます。最も一般的なレジストリキーを知っておくと、他のツールでは特定できない場合に、それらのキーを見つけるのに非常に役立ちます。

Win + Rコマンドを使用して「regedit」と入力する次に、レジストリエディターにアクセスします（このツールは細心の注意を払って使用してください）。「system」で始まるプログラムが登録されている最も一般的なパスは次のとおりです。

HKEY_CURRENT_USER \ソフトウェア\マイクロソフト\ Windows \ CurrentVersionの\ファイル名を指定して実行 y HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Runを現在のユーザーまたは任意のユーザーがログインしたときに起動するアプリケーションが保存されています。また、注目すべき点として RunOnceを、次回の起動時にエントリを 1 回だけ実行します。

これらのキーを確認すると、未知のエントリが見つかる可能性があります 通常とは異なるパス、一時フォルダ、一般的ではないユーザープロファイルディレクトリ、ランダムなファイル名を指すパスなど、これらのケースでは疑わしいと判断され、バックアップを作成した後、該当のエントリを削除するか、ウイルス対策ソフトウェアでスキャンする際に無効化することが適切です。

もう一つの非常に効果的な方法はコマンドラインを使うことです管理者権限でコマンドプロンプトウィンドウから「tasklist」を実行すると、プロセスの完全なリストが表示されます。このリストをフィルター（名前、PIDなど）と組み合わせたり、「wmic」や「powershell」などのツールと組み合わせたりすることで、さらに詳細な情報を取得できます。

最後に、ウイルス対策ソフトウェアの役割を忘れてはならない。常に最新の状態に保ち、システム全体をスキャンすることで、正規のサービスを装った隠れたプロセスを検出することができます。多くの現行製品はリアルタイムで動作を監視し、ファイル自体がデータベースにまだ登録されていない場合でも、マルウェアのように動作するプロセスをブロックします。

PC上で実行されるものを実際に制御できます タスクマネージャーを効果的に使用し、AutorunsとProcess Explorerを活用し、レジストリを監視し、強力なウイルス対策ソリューションを活用するなど、上記すべてを組み合わせる必要があります。これらのツールがあれば、一見すると分かりにくい隠れたプロセスを見つけ出し、どう対処するかを判断することはもはや謎ではなく、少し練習すれば、プロのハッカーでなくても習得できるタスクになります。