凌（しのぎ）です。 CrowdInspectは米国のCrowdStrike社がリリースしている無償のツールで、感染の疑いのある端末でマルウェアを見つけたい時に役立ちそうだということで試してみました。プロセスインジェクションの有無、クラウド上のレピュテーションなどにより、実行されているプロセスで怪しいプロセス（マルウェア）を見つけてくれます。

■ダウンロード＆インストール

以下のページからダウンロードできます。

http://www.crowdstrike.com/community-tools/

インストールは不要で単体のEXEで実行できます。

【システム要件】

・Windows XP以上　(32bit / 64 bitいずれも可）

・インターネットに接続できること

■使い方

ダウンロードしたEXEを実行すると以下の画面が立ち上がります。

図１）CrowdInspect起動後の画面

実行中のプロセスが一覧で表示され、以下の項目が分かります。

・PID

　　プロセスID

・Inject

　　プロセスインジェクションの有無

　　凡例）OK:インジェクションされていない !!:されている ??:不明

・VT

　　VirusTotalの結果

　　凡例）n%:検知率(高いほどマルウェアの可能性がある）　??:エントリがない

・MHR

　　Team Cymru のMalware Hash Registryでハッシュを照合した結果

　　凡例）!!:マルウェアと照合された　??:エントリがない

・WOT

　　通信先のドメイン名のレピュテーション情報

　　凡例）n%:結果（低いほどレピュテーションが悪い）　??:エントリがない

・Type、State、Local Port、Local IP、Remote Port、Remote IP、DNS

　　通信に関する情報

デフォルトはLiveモードで動作しているので、ゆっくり見たい場合は、[Pause]ボタンをクリックするか、[Live/History]ボタンをクリックします。

【見るべきポイント】

Inject、VT、MHR、WOTでいずれかが悪い結果であれば、マルウェアの可能性が高いということになります。

■マルウェア感染時

マルウェアを見つけた場合はこのように赤く表示されます。

図２）マルウェア検知時の画面

【マルウェアを見つけたときの対処法】

　上部のアイコンからプロセスを止めたり（Kill Process）、TCPのセッションを閉じたり（Close TCP）することができ、応急処置ができます。

【注意】

　上記を実行すると自己消去するマルウェアもあるため、[Full Path]ボタンをクリックし、マルウェアの実行パスを参照し、予め検体のバックアップを取得してから対処されることをお勧めします。

■最後に

　普段手動でやっているようなことを自動的にやってくれるため、インシデントレスポンスで迅速にマルウェアを見つけなければならない時には有効なツールだと感じました。ただし、実行中のプロセスのみをチェックしており、ドライバ、スクリプトは検知ができないので、ご注意ください。