パスワード等を盗み取るキーロガーがPCにインストールされていないか調べる方法。
ウィンドウズでの方法です。
もちろんウイルス対策ソフトやセキュリティソフトでも常にチェックはされていると思いますが、手動でやるには以下のような手順を踏みます。
まず、すべてのプログラムを閉じてください。
そうしたら、スタートメニューを開き、「cmd」と入力します。
スタートメニューはタスクバーにあるWindowsのログをクリックすれば開きます。
cmdと入力すると、「コマンドプロンプト」が表示されるので起動。
コマンドプロンプトの画面で「netstat -ano」と半角で入力してENTERキーを押します。
すると大量の文字列が一気に表示されるかと思います。
その中の右から二番目の項目を見てください。
そこに、「ESTABLISHED」と書かれているものが見つかると思います。
ESTABLISHEDと書かれている項目があったら、一番右にある数字(PID)を見ます。
次に、タスクバーの何もないところを右クリックし、「タスクマネージャー」を起動してください。
タスクマネージャーのタブで「詳細」というのがあると思いのでそこをクリック。
するとプロセスの一覧が出てきます。
この項目に「PID」という数字があるかと思います。
わかりやすいようにPID順に並べましょう。
そうしたら、さきほどコマンドプロンプトでESTABLISHEDと書いてあった項目のPIDをチェックします。
コマンドプロンプトで見つかったPIDを、タスクマネージャーのPIDと照らし合わせます。
そして、それが何なのかを説明欄やプロセスの名前で見てください。
怪しいと思ったらそれを右クリックして「ファイルの場所を開く」をしたり、「オンラインでで検索」をして詳しく調べましょう。
もし心配なら、「CLOSE_WAIT」と「FIN_WAIT」等と表示された項目のPIDも調べておきましょう。
ほとんどはWindows関連もしくは普段使っているプログラムのものですが、もし全く覚えがなく、オンライン検索をしても何だかよくわからない、あるいはオンライン検索をしたらそれが不正なプログラムだとわかった場合は適切に処理しましょう。
Windowsのプロセスに偽装していることもありますが、詳しく調べると本来とは違う場所にインストールされていたりします。(基本的にWindowsのSystem 32フォルダには外部からインストールをすることはできません)
時々でいいので普段のセキュリティチェックに加えて、この作業をすることで、自分のPCに不正なプログラムがないかを調べることができます。
この方法の詳しい説明
何をしているのかという話ですが、コマンドプロンプトを使いPCで動いているプロセスのTCP通信の状態を調べることができます。
この中で、ESTABLISHEDと書かれたものは通信が確立した状態にあります。
したがって、不正なプログラムがどこかのサーバーとやり取りをしているとESTABLISHEDと表示されるわけです。
キーロガーは、ログを取ってからハッカーが使っているサーバーにそのデータを送るわけなので、プロセスが動いている必要があります。
ですので、ESTABLISHEDと書かれた項目のPIDをチェックしていくことで、安全なプログラムが通信しているだけなのか、それとも怪しいプログラムが通信を行っているのかを調べることができます。