10月 2013 | 8bit size

2013/10/23

Windowsでアンインストール出来ない場合

ベクターからダウンロード・インストールした「デジカメ一発整理2フリーウェア版」というソフトをアンインストールしようとしたところこんな画面が…。

インストールは正常終了したのに、アンインストールで問題が起きたのは意外でした。

推奨の設定を選んでみたものの、ウィンドウが閉じただけでアンインストールされた気配はありません。

この様にプログラムと機能の項目に残ったままになり、アンインストールと変更を押してもうんともすんとも言わない状態に。

ダウンロードページのファイル情報を見ると2005年とありました。インストールしたPCはWindows7、64ビット版なのでこのソフトが対応していなかったのかも知れませんね。

別に残っていても害は無さそうですが、精神衛生上スッキリしないので削除することにします。

IObit Uninstaller

手動で削除するのは面倒なので、ツールを探したところIObit Uninstallerというツールを見つけました。このツールはXPから８まで対応しインストール不要、解凍すれば即使用可能というお手軽ツールながら、アンインストール時に残されたファイル・レジストリも探してきっちり削除してくれるというなかなか使い勝手が良さそうなツールです。

早速解凍して実行してみます。

起動してアンインストールしたいプログラムを選択し、緑のアンインストールボタンを押します。

確認が出て、はいを選ぶとアンインストールが始まります。

アンインストール終了後、パワースキャンボタンを押すと、

しばらくHDDを検索した後、不要なファイル・レジストリの一覧を表示します。削除したい項目にチェックを入れて削除ボタンを押し、

確認ではいを押せば削除完了です。

これだけの操作で、プログラムと機能に残されたプログラムがアンインストール出来ました。

強制アンインストール

上記のようなアンインストール以外にも、プログラムと機能のリストから削除されたものの、本体は残っているというようなプログラムも削除出来るようです。

詳細から強制アンインストールを選ぶと、

強制アンインストーラーのウィンドウが出ます。デスクトップにあったショートカットをドラッグアンドドロップしてみます。

上手く認識されたようなので次へボタンを押します。

システム復元ポイントを作成後、アンインストール、パワースキャンに進みました。

今回は、プログラムと機能のリストから消えて本体が残っているファイルは無かったので、リストに残っているプログラムでのテストでしたが、その様な状況も過去にあったので、この機能も役立ちそうです。

2013/10/21

ChromeでYouTubeの動画が止まってしまう

あまり頻繁にYouTubeの動画を見ていないので、いつ頃からなのかハッキリしないのですが、ChromeでYouTubeを視聴していると動画の読み込みが途中で停止してしまう現象が発生しました。

FirefoxやInternet Explorerでの再生ではそのようなことは発生しなかったので、Chromeで何か不具合が出ているのは間違いないようです。

一旦再生が止まるとシークしても無駄で、ページの再読み込みをすると再生出来るようになり、全ての動画で発生するわけでも無いという症状。

最初は我慢していたのですが、やっぱりストレスが溜まるので色々試してみると、どうやら拡張機能のChrome Toolboxが原因だった様子。ということで、Chrome Toolboxを無効にしてYouTubeは正常に再生出来るようになり、ストレスから開放されました。
(反面、便利な機能が無くなり不便になった点も…。うーん)

2013/10/17

COMODO Firewall 6 HIPSについて(2)

前回からの続きです。

クリーンPCモード

これも前回のテストと同様に、自動サンドボックス、ファイアウォールは無効にして、ファイル評価のチェックは全部外し、プリセットの設定はCOMODO - Proactive Securityでテストしてみます。

HIPSをクリーンPCモードにしてメモ帳を開くと、アラートもなく開き、名前を付けて保存もアラートが出ません。クリーンPCモードにした時点でPC内にある実行ファイルのどれもが、HIPS監視対象から外れています。設定を見てみますと、

ファイル評価のクラウド検索を有効にする、信頼するアプリケーションの署名は無効にしているので、信頼するファイルには追加されていません。かと言って、

HIPSルールにも何も追加・変更がありません。

クリーンPCモードにした時点でPC内にある実行ファイルは、ルールや信頼するファイル関係なしにHIPSの監視から外れるようです。また、そんな場合でも「安全なアプリケーションのルールを作成する」にチェックを入れると許可ルールが作成されます。
(ルールが既に存在する場合、セーフモードでの時と同じような処理になるようです※信頼するファイルとHIPSルールの競合について)

※このルールが作成されるのに少しタイムラグが有るようで、アプリを実行後直ぐにHIPSルールを確認してみてもルールに無く、数秒経ってルールを開き直すとルールが出来ているという現象を確認しています。このせいで、何度もルールが作成されるのかされないのか、チェックする羽目になりました。

では、”クリーンPCモードにした時点でPC内にあった”notepad.exeをデスクトップにコピーしてみて実行してみるとどうなるのかといいますと、セーフモードやパラノイドモードと同様アラートが出て、同時に「認識されていないファイル」へ追加もされます。

当然新しくファイルをダウンロードしてきたり、クリーンPCモードにした後にUSBメモリを繋げて、その中のファイルを実行する場合も同様にアラートが出て、「認識されていないファイル」のリストへ追加されます。
勿論、新しいファイルであっても、ファイル評価のチェックで「信頼するファイル」に追加された場合、アラートは出ず、「認識されていないファイル」への追加もありません。

トレーニングモード

自動的に許可ルールが作られていきます。アラートは発生しません。
(こちらもルールが既に存在する場合、クリーンPCモードと同様です。)

ファイル評価で信頼出来るファイルと判別出来れば、「信頼するファイル」にも追加されます。
(全ての実行ファイルが許可ルールになっていくので、許可ルールの自動作成以外、使い所が無いモードのような気がします…)

インストーラーまたはアップデートについて

ルールは細かく監視項目毎にカスタマイズ出来ますが、それらをまとめて名前を付けて、ルールセットとして定義し、アラートや設定時に適用することが出来ます。

最初から定義されているのは、

Allowed Application
Windows System Application
Isolated Application
Limited Application

の4つで、例えばIsolated Applicationの内容はどうなっているのかを確認したい場合、ルールセットの画面でその項目をダブルクリックするなどして確認できます。

ところが定義には無いのに、ルール設定やアラートの時にだけ選べるルールセット「インストーラーまたはアップデート」というものがあります。

これは何かと調べたところ、このルールにすると信頼出来るインストーラーに認識され、動作は全て許可され、更にその作成したファイルも信頼出来るファイルと見なされるとのことです。

ということは、Allowed ApplicationやWindows System Applicationよりもセキュリティが低い設定ということになるかと思います。
このルールを適用するには慎重に行うよう、マニュアルには書かれてありました。

また、このルール設定を行うときに確認メッセージも表示されます(アラート時には出ません)。

そこで、セーフモードでちょっとしたテストをしてみました。

別のexeファイルを内包したアプリケーションを作成し、それらの実行が全て許可されるのかの実験です。

自作exeのルールを「インストーラーまたはアップデート」にします。

実行すると、explorer.exeでtest2.exeを実行するかのアラートが出て、許可をすると以下のウィンドウが出ます。

この内部exe実行ボタンを押すと、内包したexeファイルを書き出しそれを実行する処理になります。ルール設定が「インストーラーまたはアップデート」なので、それらは全て信頼されてアラートが一切出ずに実行されるはずですが…。

あれ、アラートが出てしまいました。tess.exeと言うのは、書きだした内包exeファイルです。それが実行され、直接ディスクアクセスしようとしているところでアラートが出たようです。

ということは、test2.exeがtess.exeファイルを書き出し(保護される場所なので通常はアラートが出る設定です)、それを実行するところまでは許可されたことになります。

しかし、その書きだしたexeファイルは信頼されていないようで、監視項目に引っ掛かりアラートが出ました。マニュアルでは、このファイルも信頼するというように読めたのですが…。

あれこれ試してようやく分かったのですが、”アラート上で”「インストーラーまたはアップデート」を選んだ時の”その動作時のみ”、この特別な振る舞いになるようです。

もう一度、ルールを元の状態にしてtest2.exeのルールは削除し、test2.exeを実行してみます。explorer.exeのアラート後に、ルールが無いのでtest2.exeのアラートが出ます。

ここで、「インストーラーまたはアップデート」のルールを選択します。
その後ウィンドウが表示され、内部exe実行ボタンを押したところ、アラートが出ずに内包exeが実行され、またそこにある内部exe実行ボタンを押したところ、更に内包されたexeがアラートもなく実行出来ました(この自作アプリは、2重のexeファイルを内包しています)。

ルールセットにあるAllowed ApplicationやWindows System Applicationは、その実行ファイルにだけ許可を与え、そこから実行した他のファイルについては、信頼していませんが、マニュアル通りこの「インストーラーまたはアップデート」はそこから実行した他のファイルまで信頼しています。

上でも書きましたがこの動作はその時のみで、アプリケーションを終了させ、再度実行した時には、この特別なルールは継続されないようです。

ということは、explorer.exeから他のファイルを実行するときにexplorer.exeのルールとして「インストーラーまたはアップデート」を選んでは絶対ダメということですね。

またファイル評価の「信頼されたインストーラによってインストールされたファイルを信頼する」にチェックを入れた場合、

上記の特別な動作時に作成した実行ファイルは「信頼するファイル」に追加されます。※既存のファイルの上書きでは追加されません。

設定のタイミング

こうやっていろいろ試していると、しょっちゅう設定ウィンドウを開いている最中にアラートが入ります。

例えば、デフォルトのルールしかない時点で設定ウィンドウを開き、そのままメモ帳を起動すると、関連するアラートが出ます。アラートで、許可やブロックのルールを作った後、デフォルト状態の設定ウィンドウをOKで閉じた場合どうなるのか。

メモ帳のルールがある状態で設定ウィンドウを開き、メモ帳を起動してアラートからルールを決定後、設定ウィンドウのメモ帳ルールの一部を変更してOKで閉じた場合、アラートで作成したルールと設定ウィンドウから変更したルールはどうなるのか。

どうやら設定ウィンドウの表示は、開いた時の状態しか表示できない(最新の状態に更新できない)ものの、設定自体は同時に設定出来ているようです。

つまり、デフォルト状態で設定を開いてルールをアラートで作成後、設定をOKで閉じても、ちゃんとアラートで作ったルールが残っていて、次回設定を開いた時にそのルールは表示されます。

またルールがある場合でも、設定から変更したルールもアラートから変更したルールも有効で、もし同じ項目を両方から変更した場合は、後から変更したほうが有効という感じでした。

2013/10/16

COMODO Firewall 6 HIPSについて(1)

インストールの記事で、きちんと理解しないと…なんて書いたわけですが、本家マニュアルをWeb翻訳でちょっとずつ読み進めています。

とりあえず理解した部分をまとめておきます。
Web翻訳に頼っているくらいですから、間違いがあるかもしれませんが、良く分からない、調べるのが大変という方には理解の一助になるかもしれません。
(確認したバージョンは6.3.294583.2937。画像は日本語化済みのものを使用します)

HIPS設定

詳細は後に回して、まずざっとした説明から。

パラノイドモード
- 最高のセキュリティレベル設定。ルール作成したものは別として、全ての実行ファイルを監視し制御するモード。上級者向け。学習しない。
  ※ここでの学習とは、自動的に許可ルールを作成することのようです。
セーフモード
- 監視・制御しつつも信頼するファイルは許可し、学習も行う。未知のアプリケーション実行時はアラートを発生させる。多くのユーザーに推奨のモード。
クリーンPCモード
- モードをクリーンPCモードにした時以降、システムに導入されたすべての新しい実行可能ファイルが監視・制御され、新しくアプリケーションがインストールされる度にアラートを発生させる。学習も行われる。新しいPCであったり、ユーザーがこのモードにする時点ではマルウェアやその他の脅威に侵されていないことを知っている場合に推奨されるモード。
トレーニングモード
- セキュリティレベルが変更されるまで、全ての実行ファイルの許可ルールが作成(学習)され、アラートは発生しない。ユーザーが全ての実行ファイルが100%安全であると確信を持ってこのモードにすることが推奨される。

とまぁこんな感じでしょうか。この学習に関して関わってくるのが、ファイル評価設定です。

ファイル評価設定

クラウド検索を有効にする
- クラウドベースのファイル検索サービスで、ホワイトリスト・ブラックリストのチェックを行う。
信頼するアプリケーションの署名
- 信頼するベンダーの署名がファイルにあれば、信頼するファイルとなる。

ファイル実行時そのファイルの対処が未設定の場合(その項目を有効にしていれば)、チェックを行い、信頼するファイル、ブロックするファイル、認識されていないファイルと分別されるようです。

信頼するファイルは「信頼するファイル」のリストに追加され、HIPSの監視から除外されます(パラノイドモードを除く)。

ブロックするファイルはDefense+>HIPS>Protected Objectsタブの「ブロックするファイル」に追加され、実行がブロックされます(と、マニュアルに書いてあるようなんですが、ブロックされるようなファイルを持っていないため確認は出来ていません)。

認識されていないファイルの場合、HIPSの監視項目の行動を起こした時にアラートが表示され、対応を求められます。

マニュアルではわかりづらい部分も多く、どのような動作になるか見てみました。

パラノイドモード

HIPSをパラノイドモードにして(HIPSのテストなので自動サンドボックス・ファイアウォールは無効)、ファイル評価のチェックは全部外し、プリセットの設定はCOMODO - Proactive Securityにしてメモ帳を起動してみます。

explorer.exeがnotepad.exeの実行を試みたとアラートが入りました。explorer.exeのHIPSルールを見るとファイル実行時のみ確認するようになっている為、このアラートが出ているわけですね。メモ帳を実行しようと操作しているので当然の動作です。許可を押します。

メモ帳が起動しました。取り敢えずファイルから、名前をつけて保存をクリックしてみます。

今度は、notepad.exeがメモリ内のexplorer.exeをアクセスしようとしているとアラートが出ました。許可を押します。

次はグローバルフックをインストールしようとしているとのアラートが。許可を押します。

続いて直接ディスクアクセスを試みているとのアラート。許可を押します。

ようやく保存ダイアログボックスが出てきました。と同時に、

またディスクアクセスのアラート。先ほど今後同じ処理をするにチェックを入れたうえで許可したので出ないのが正しいと思うのですが、何故か出ます。プログラムの実行処理とアラートのタイミングのせいでしょうか？良く分かりませんが…。取り敢えず許可を押して、ファイル名を入れようとすると、

直接キーボドにアクセスとのアラート(実際はキーボード入力時ではなく、保存ダイアログボックスのファイルの上をマウスオーバーした時に反応するようです)。許可を押しファイル名を入れ、ダイアログボックスの保存を押すと、

ファイルを保存しようとしていることへのアラート。これは当然なので、許可を押すと、ようやく保存されたので、ここでテストを終了しました(保存するファルダの位置が違うとアラート内容も変わってくるようです)。

メモ帳を起動して、名前を付けて保存するだけの動作で、7回もアラートが出ました。今回はテストなのでホイホイ許可していきましたが、本来はその動作を理解した上で全ての許可やブロックを細かく制御したい上級者向けのモードです。

さて、今後同じ処理をするにチェックを入れていると、ルールとして作成されていきます。
HIPSルールを見てみますと、

メモ帳であるnotepad.exeのルールが作成されています。中身をみると、

「インタープロセスメモリアクセス」、「Windows/WinEventフック」、「保護するファイルまたはフォルダー」の変更が(1＼0)となっていて追加されているのが分かります(左が許可の数、右がブロックの数)。また、ディスク、キーボードは許可に設定されています。

例えばWindows/WinEventフックの中は、

アラートで許可したdwmapi.dllが許可するファイルに設定されています。
notepad.exeの他にexplorer.exeのアラートもあったので、

explorer.exeの実行を許可するファイルにnotepad.exeが加えられています。

こういうルールが出来た後は、もう一回同じようにメモ帳を開き名前をつけて保存しても、ルールに従うのでアラートは出ません。ただし、保存するテキストファイルの名前が変わると、また「保護されたファイルまたはディレクトリの変更アラート」が出ます。ここはチェックする必要が無いというのであれば、「保護するファイルまたはフォルダー」のアクションを許可にすると、このチェックは全て許可になりますし、”変更”の個別のパスを編集して、アスタリスクを使って"C:\Users\*\Desktop\a.txt"とすると、どのユーザーのデスクトップでもa.txtというファイルだけは許可にするというような事も出来ます。

このアラートは、Defense+>HIPS>Protected Objectsの保護するファイルで設定されているから(この時はデスクトップに保存していました)アラートが出るので、設定されていない場所(例えばc:\)に保存すると「保護されたファイル――」のアラートは出ません(当然c:\を保護するように自分で設定は出来ます)。

さて、ファイル評価を無効にしていましたが、最初にファイル評価の信頼するアプリケーションの署名にチェックを入れていればどうなるでしょうか。

出てくるアラートは同じでしたが、信頼するファイルにマイクロソフトの署名のあった、explorer.exe、notepad.exe、dwmapi.dllのファイルが追加されています(COMODOのファイルも追加されていますがこのテストとは関係ありません)。

クラウド検索を有効にするにだけチェックを入れてみると、

notepad.exeだけが登録されています。

ただこれは、パラノイドモードでの結果で、セーフモードだと、notepad.exeとexplorer.exeが登録されるのですが、その違いは良く分かりません。

※信頼するファイルはハッシュでの管理らしく、名前や場所が異なる同じファイルを手動で登録しても最初に登録したファイルが表示されるようです。

パラノイドモードでも、実行時にファイル評価が行われ信頼するファイルに追加されますが、それによってHIPSの監視から外れることもなく、全て監視されるみたいです。

セーフモード

ファイル評価のクラウド検索を有効にすると信頼するアプリケーションの署名を無効にした状態でパラノイドモードと同じテストをすると、同じアラートが出ます。

信頼するアプリケーションの署名を有効にすると、一切アラートが出ません。

信頼するファイルを見てみると、マイクロソフトの署名のあるexplorer.exeとnotepad.exeが登録されています。

explorer.exeが信頼するファイルなのでexplorer.exeの挙動を監視せず、そこから起動されたnotepad.exeも信頼するファイルのなのでnotepad.exeの挙動も監視せずアラートは出なかったということですね。

当然HIPSのルールには何も追加・変更はありませんし、explorer.exeのルールを見ても実行許可ファイルとしてnotepad.exeの登録はありません。

ファイル評価のクラウド検索や署名から信頼されているファイルに判断された場合、信頼されるファイルのリストに入れられてしまいHIPSの監視対象から外れるわけですが、そのような信頼されているファイルでもHIPSのルール上に許可ルールを作りたい場合、「安全なアプリケーションのルールを作成する」にチェックを入れるとそれが可能です。チェックを入れなかった場合、HIPSルールに変化はなかったのですが、

チェックをいれていた場合、HIPSルールにnotepad.exeのカスタムルールが作られています。内容は、

このようになっていて、監視項目が許可になっていたり、変更の内容が追加されていたり、自動でルールが作成されています。これが、学習と呼ばれる処理ですね。当然、explorer.exeのルールの実行許可ファイルにもnotepad.exeが追加されています。

※信頼するファイルとHIPSルールの競合について
HIPSルールと信頼するファイルがある場合、優先されるのはHIPSルールのようですが、HIPSルールで確認となっている項目は、許可として扱われるみたいです。更に「安全なアプリケーションのルールを作成する」にチェックがある場合、ルールセットでの指定は書き変わりませんが、カスタムルールであれば確認の部分に限り、許可に書き換わったり、変更に追加があったり無かったりするようです。

ルールに全て信頼出来るファイルも設定すると、煩雑になり、PCのリソースも消費するというので信頼出来るファイルは分けて管理することになったらしいので、ルールをカスタマイズするつもりが無ければ、安全なアプリケーションのルールを作成する意味は無さそうです。

長くなってきましたので次回へ続きます。