Boot Rescue でコンピュータウィルスの駆除を支援
◆ はじめに ◆
ここでは、コンピュータウィルスの駆除を支援する道具として「BootRescue」CDを利用する方法を紹介します。
あくまで、アンチウィルスソフトの働きを支援するもので、「BootRescue」自体はウィルス駆除の機能を持っていませんのでご注意ください。
◆ 背景 ◆
最近のウィルスは自分をパソコンの利用者に発見されないよう、感染した後にパソコンで稼動しているアンチウィルスソフトを停止させる動きをするものが非常に多くなっています。
このため、Windowsを起動した状態でのアンチウィルスソフトを使ったウィルス検出が大変困難で、一般のユーザは感染していることさえ分かりません。
もちろん企業でPCやネットワークの管理者を行われている方であれば、TCPポート80番での不正な通信や、IRCサーバへの不正な通信をしているパソコンを特定し、一見普通に使えているパソコンが何らかのウィルスに感染しているところまでは突き止めることができるでしょう。
しかし、せっかくそこまで分かっても、アンチウィルスソフトが動かないので、感染しているウィルスが何であるか分からず対策が立られない!といったことはないでしょうか。
またアンチウィルスメーカが提供するWebでのオンラインでのウィルスチェックサイトは大変便利ですが、これを使うときにはWindowsで起動してネットワークに接続して利用しなければならないため、その間どうしてもウィルスが活動してしまいます。また、最近ではこういったオンラインチェックサイトも感染しているウィルスに利用をブロックされてしまう場合が見受けられます。
このとき、「BootRescue」を活用して、ほかの健康なパソコンからネットワーク経由でハードディスクの中身をスキャンし、どういったウィルスに感染しているかが調査できます。また、この間Windowsを起動しないため感染しているウィルスは活動できません。
その手順を説明します。
◆ 手順 ◆
説明の中で、不明なウィルスに感染したパソコンを「要救助PC」、ネットワーク経由で「要救助PC」のウィルス調査を行う健康なパソコンを「救助PC」と表現
して説明を進めていきます。
| | |
不明ウィルスに感染したパソコン | | 不明ウィルスに感染したパソコンのウィルスを調査する健康なパソコン |
◆ BIOSの設定 ◆
まず、CDから起動できるよう要救助PCのBIOSの設定を行います。
- 要救助PCの電源を入れ「Delete」や「F1」等を押してBIOSを起動してください。
| | |
BIOSを起動してください。 | | |
- 起動順序の設定項目で、HDDよりCD-ROMが優先するように以下の例のように設定してください
◆ ネットワーク準備 ◆
- 要救助PCと、救助PC同士をLANクロスケーブルやHUBで接続してください。
- 接続する場合のユーザ名は「root」になりますのでそのパスワードを決めてください。
- 救助PCのWindowsのバージョンが「Windows95,98,98SE,Me」といった古いバージョンの場合は、「コントロールパネル」-「ネットワーク」で
「Microsoftネットワーククライアント」を導入し、Windowsから一旦ログオフして、ユーザ名「root」と、上で決めたパスワードを用いてWindowsにログオンし直しておいてください。
| | |
| | 古いバージョンのWindowsの場合、ユーザ名「root」でログオンしておく。 |
◆ ハードディスクの共有 ◆
- 要救助PCのCDドライブに「Boot Rescue」のCDを挿入し電源を入れて起動します。
- 起動直後「Boot Rescue」の起動画面が表示されます。
「boot:」メッセージが表示されている状態でそのまま「ENTER」キーを押してください。
起動処理が始まります。
- 以下のようにBootRescueを、日本語モードで実行するか、英語モードで実行するか問い合わせが表示されます。
BootRescue_Ver1.8.0 http://linux-memo.net/
========================================================================
Do you start in GUI-Japanese mode?
Y or y => GUI-Japanese mode (Default)
N or n => CUI-English mode
To run 10 seconds, in GUI-Japanese mode (Y/n) >
|
「Y」または、「y」キーを入力したのち、「ENTER」キーを入力して、日本語モードでご利用下さい。
なお、何も入力されなかった場合も、10秒後に日本語モードでBootRescueが起動します。
- 起動処理完了後、以下の画面が表示されIPアドレスを設定するよう指示が出ます。
1. IPアドレスを設定して下さい。 [ ENTER ]
|
画面の指示通り「ENTER」キーを押してください。
- IPアドレスの設定画面が表示されます。※Ver1.6.2より前のバージョンのIP設定はこちら
まず、ネットワークカードが複数搭載されている場合はどのネットワークカードに
IPアドレスを設定するか以下の画面が出ますので「↓」「↑」キーで選んで、[ENTER]キーを押します。
次に、以下のDHCPを使うかどうかのメッセージ画面は「TAB」キーで「No」を選択し、[ENTER]キーを押します。
- ネットワークカードの設定メニューが以下の通り表示されますので、各項目をネットワーク環境にあわせて入力して行きます。
- まずはIPアドレスを入力します。上図の通り「IPアドレス」と「変更を選択」が青反転された状態で「ENTER」を入力すると、IPアドレスの入力画面が以下の通り表示されます。
ネットワーク環境にあわせIPアドレスを入力し[ENTER]キーを押してください。
以下の例では「192.168.0.100」を指定しています。
- ネットワークカードの設定メニューに戻りますので、先ほど設定したIPアドレスが表示されていることを確認してください。
次にサブネットマスクの入力を行いますので、以下の通り「ネットマスク」を「↓」下矢印キーで青反転させ「ENTER」キーを入力してください。
- サブネットマスクの入力画面が表示されますので、入力を行って[ENTER]キーを押します。
以下の例では「255.255.255.0」をそのまま指定しています。
- ネットワークカードの設定メニューに戻りますので、次に「ブロードキャストアドレス」を「↓」下矢印キーで青反転させ「ENTER」キーを入力してください。
- ブロードキャストアドレスの設定画面が表示されますが、先のIPアドレスとサブネットマスクで自動計算された値が既に表示されていますので、通常そのまま[ENTER]キーを押します。
- ネットワークカードの設定メニューに戻りますので、次に「デフォルトゲートウェイ」を「↓」下矢印キーで青反転させ「ENTER」キーを入力してください。
- デフォルトゲートウェイアドレスの指定はルータがネットワーク上にある場合は入力し、それ以外はそのまま[ENTER]キーを押します。
- ネットワークカードの設定メニューに戻りますので、最後に「ネームサーバ」を「↓」下矢印キーで青反転させ「ENTER」キーを入力してください。
- ネームサーバの指定はDNSサーバがネットワーク上にある場合は入力し、それ以外はそのまま[ENTER]キーを押します。
以上でIPアドレスの設定は完了です。
以下の通り設定内容が間違いないか確認し、「閉じる」を「→」右矢印キーで青反転させ「ENTER」キーを入力してください。
次に設定したIPアドレスの確認画面が以下のように表示されますので、[y]キーを入力して[ENTER]キーを入力して下さい。
IPアドレスは ( 192.168.0.100/24 : eth0 ) でよろしいですか ? [ y/n ] >
|
- 続いてディスクの確認と接続が自動的に行われ、以下のようなメッセージが表示されます。
2. ディスクを確認中です。
Disk /dev/hda: 19457 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0
Device Boot Start End #cyls #blocks Id System
/dev/hda1 * 0+ 12 13- 104391 83 Linux
/dev/hda2 13 534 522 4192965 83 Linux
/dev/hda3 535 567 33 265072+ 82 Linux swap
/dev/hda4 568 19456 18889 151725892+ f W95 Ext'd (LBA)
/dev/hda5 568+ 19456 18889- 151725861 83 Linux
3. パーティションをマウントしています。
hda1 を読み込み専用でマウントします。
hda2 を読み込み専用でマウントします。
hda5 を読み込み専用でマウントします。
|
- 続いて要救助PCに接続する際のユーザ「root」のパスワードを設定する画面が以下のように表示されます。
4. 共有対象に接続するユーザ ( root ) のパスワードを設定してください。
New SMB password:
|
「ネットワークの準備」で決めた「root」のパスワードを入力して[ENTER]キーを押してください。
なお、入力したパスワードは「*」マークで表示されませんのでご注意ください。
もう一度以下のように入力を求めてきますので、同じようにパスワードを入力して[ENTER]キーを押してください。
- この後、要救助PCのハードディスクの共有処理が自動的に実施されます。
ネットワークの共有ができれば以下のメッセージが表示されます。
共有準備が出来ました。Windowsから「\\192.168.0.100\mnt\」に
ユーザID「root」で接続してください。
Boot Rescue のご利用ありがとうございます。
Linux活用レシピ
http://linux-memo.net/
Windowsからの救済が終わりましたら [ ENTER ] を押してください。
シャットダウンを行います。
|
以上で要救助PCのハードディスクの共有は出来ました。
次に、共有されたディスクから救助PCを使ってウィルスを調査する手順を説明します。
◆ 共有されたディスクに接続する手順 ◆
- 救助PCより、Windowsの「スタート」メニュー「ファイル名を指定して実行」を起動してください。
| | |
| | 「ファイル名を指定して実行」で 「\\IPアドレス\mnt」を実行。 この手順の例では 「\\192.168.0.100\mnt」となる。 |
「名前」に「\\IPアドレス\mnt」を入力して「OK」ボタンを押してください。
この時、指定するIPアドレスは要救助PCで設定したIPアドレスになり、この手順の例では以下のようになります。
- 次にパスワードの入力を求められる画面が表示されますので、
「ユーザ名」に「root」、
「パスワード」に「ネットワークの準備」で決めた「root」のパスワードを入力して「OK」ボタンを押してください。
- しばらくすると以下のように要救助PCの共有フォルダが表示されます。
この例では、「hda1」「hda3」のフォルダがハードディスクを表わしており、
「hda」がデバイス名で、後ろの数字がそのハードディスクのパーティションの番号です。
つまりIDEのハードディスクの1番目、3番目のパーティションが共有フォルダとして見えていることになります。
それぞれのフォルダの中に、各パーティションのファイルがあります。
ハードディスクの種類とデバイス名については、このページの最後に記載しておりますのでご確認ください。
◆ 共有されたディスクをウィルス検査 ◆
- 後は以下のように要救助PCのディスクを右クリックして。「ウィルススキャン」を選択してください。
- ネットワーク経由でのウィルス検査が始まります。
- 以下のようにウィルスが検出されれば、ウィルスの名前をひかえます。
◆ 終了手順 ◆
ウィルスが特定できれば、以下の手順で要救助PCの共有を終了してください。
- 要救助PCの画面には以下のようにメッセージが表示されています。
終了する場合はこの画面で[ENTER]キーを押してください。
共有準備が出来ました。Windowsから「\\192.168.0.100\mnt\」に
ユーザID「root」で接続してください。
Boot Rescue のご利用ありがとうございます。
Linux活用レシピ
http://linux-memo.net/
Windowsからの救済が終わりましたら [ ENTER ] を押してください。
シャットダウンを行います。
|
- シャットダウン確認のメッセージが以下のように表示されますので、[y]キーを押してから[ENTER]キーを押してください。
シャットダウンしてもよろしいですか ? [ y/n ] > y
|
- もう一度聞かれますので、[y]キーを押してから[ENTER]キーを押してください。
- 以上で要救助PCのシャットダウン処理が始まります。最後に以下のメッセージが出たら[ENTER]キーを押して、要救助PCの電源を切ってください。
Please remove CD, close cdrom drive and hit return.
|
◆ ウィルスの駆除 ◆
ここまでで、「BootRescue」の役目は終わりです。後は確認できたウィルス名でアンチウィルスソフトメーカが公開しているWebサイトのウィルスデータベースを検索し、そのウィルスにあった対応を行ってください。
だいたいの場合は、セーフモードで起動してそのウィルスが起動時に動き出す原因となる特定のファイルを削除し、ウィルスが起動しない状況にしてからWindowsを通常起動して、アンチウィルスソフトで駆除する手順になると思います。
◆ ハードディスクの種類とデバイス名 ◆
標準のハードディスクとデバイス名の関係はそれぞれ以下のようになります。
★ SCSI/IDE/USB/S-ATA/SASディスク ★
|
それぞれのデバイス名の後ろに数字をつけることで、そのハードディスク中のパーティション番号を表します。
例)
1番目のIDEハードディスクの1番目のパーティション:hda1
3番目のSCSIハードディスクの2番目のパーティション:sdc2
また、以下は特殊なハードディスクコントローラとデバイス名になります、knoppixではそのままでは認識しませんが、BootRescueでは認識するよう改良しております。
それぞれのデバイス名の後ろにp+数字をつけることで、そのハードディスク中のパーティション番号を表します。
例)
1番目のコントローラの1番目のディスクの1番目のパーティション:c0d0p1
2番目のコントローラの2番目のディスクの2番目のパーティション:c1d1p2
|