Windowsのクラッシュの原因を究明できるかもしれないクラッシュダンプの読み方〜WinDbgを使ってみる

Windowsがクラッシュした時に、その原因を究明する手がかりにクラッシュダンプ、あるいはメモリダンプと呼ばれるものがある。
クラッシュダンプはWindowsOSがクラッシュした時に、その時のメモリの内容を落ちる前に保存して、クラッシュの原因を究明するのに役に立てようというもの。

そういう目的でシステムはsyslogを吐いているが、システムが落ちている時にはシステムが吐き出す情報はあまり当てにならない。
その時のメモリの状態をそのまま凍らせておいておいてくれれば、後から解凍してひょっとしてその原因が分かるかもしれない。

Windowsがどういうふうにクラッシュダンプを吐くかについてはこちらのサイトが大変参考になった。

Windows でシステム障害と回復のオプションを構成する方法

デフォルトの設定の場合、Cドライブ直下にMinidumpという名前のフォルダができて
その中にMini日付年号.dmpという名前のファイルが入ったzipが生成される
この情報の量や形式は上記リンク先の設定によりいろいろ選べる

このメモリダンプは文字通り火事場でとりあえず救い出したメモリの断片なので、このままでは読めないので専用のツールを使う。
WindowsのSDKにWinDbgというデバッグアプリがバンドルされている。
Windowsの開発用ツールキットだ。
これは無料でダウンロードできるので、もし専用機環境やサーバ用途で使っているWindowsが頻繁に落ちるというようなことで悩んでいる場合は役に立つかもしれない。

実際にはかなり断片的な情報しかわからないし、詳細に読むにはそれなりに専門知識が必要なので、どの程度役に立つか保証しかねるのだが。

以下SDKとその動作に必要な.Net4のインストールと設定、使用法をキャプチャにまとめる。

これらのサイトが大変参考になった。

メモリダンプを解析する - Ask CORE - Site Home - TechNet Blogs

Windows TIPS -- HINT：環境変数を変更する

こちらのサイトからWindowsのSDKをダウンロードしてくるのだが
インストールの過程でこのように「.Net4が入っていない」と怒られる
それならいっそ先に.NET Framework 4インストーラダウンロードページで落としてくる

.Netのダウンロード自体はすぐに済む

ただし注意点は.NetにしてもSDKにしてもインストーラは小さいのだが
結局でかいファイルをダウンロードしながらインストールを進行していくので
ダウンロードの時だけでなくインストールの時も高速ネットに繋がっている必要があることだ

.NetをインストールするとすぐにWindowsUpdateが起動してきてセキュリティパッチを当てろという
それなら最初からあたった奴をダウンロードさせれば良いのに相変わらず手間のかかることである

さてWindowsSDKのインストールにやっと進む

以下ウイザードの手順通りに進行

こういう場所にインストールされる

さてこのインストールメニューを見ているとデバッガーだけでなく様々なアプリや
WindowsPhoneアプリの開発キットもダウンロードできるらしい
そこらは後日ということで今回はDebuggingTool for Windowsという奴を最優先に

開発キットを使う上でシンボルを使えるようにしないといけない
その手順はコントロールパネルのシステムで詳細設定に入って環境変数を開く

ここで新規の環境変数を追加するために「新規」ボタンをクリック

ここに以下の文字列をコピペ、変数名に「_NT_SYMBOL_PATH」
変数値に「SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols」

Cドライブ直下に「websymbols」というフォルダを作っておく

すべてのプログラムの中にDebugging Tools for Windowsというセットができていてその中に
WinDbgというアプリが入っている筈なのでそれを起動

ファイルメニューの「クラッシュダンプを開く」で
Minidumpフォルダから回収した.dmpファイルを指定する

シンボルファイルを利用するには高速インターネット環境が必要でさも無ければ
あらかじめダウンロードしてインストールしておく必要がある
残念ながらマクドナルド超低速LAN環境で試したためシンボルは不正が出たが
クラッシュダンプに関してはシンボル無しでも診断できるとどこかで読んだ
このクラッシュはFATファイルシステム回りのクラッシュらしい

こちらの別のファイルはWindowsのNTカーネルが原因で
クラッシュを起こしていることを示している
いわゆるカーネルパニックというやつか・・・

分析表の上の方のリンクをクリックするか下のkdに
!analyze -vと入力するとさらに詳細の分析を表示する

私の知識では詳しいことはわからないがこれで
クラッシュを起こしているモジュールを特定できるそうだ

Windowsのクラッシュの原因を究明できるかもしれないクラッシュダンプの読み方〜＜追記＞やっぱりシンボルをインストールした

先日のWinDbgのテストだが、やはり不完全な状態でシンボルが利用できていなかった。

シンボルは無くてもWinDbgは使えるという話をどこかで読んだ気がしたが思い出せない。
正確な結果を得たいならやはりシンボルはインストールせよということらしい。
インストーラはここで手に入る。
デバッグ ツールとシンボル- はじめに

前回、オンラインシンボルサーバを利用するために環境変数の設定も紹介したがどうもこれも機能してないようだ。
以下の手順でOKだと思う。

上記リンク先でシンボルのインストーラをダウンロード、インストールする
これも特に迷う要素はないと思う

インストールが完了したらWinDbgを起動してファイルメニューの
「シンボルファイルパス」をクリックする

シンボルファイルパスメニューに入ったら「ブラウザ」をクリック
指定するパスはC:￥WINDOWS￥symbolsを入力
（￥マークは日本語エスケープ、コピペするなら英数の￥に書き換えて）

クラッシュダンプを開いてみるとやっと「適切なシンボルが見つからない」という警告が消えた
診断内容も少し変わって「ntoskrnl.exe」となっていたのが
「memory_corruption」（メモリ障害）と変わった
診断内容がやや精細になったということだと思われる

FATファイルシステムのエラーを表示していた方も
ディレートなどのファイル操作関係のプロセスが停止の原因だと読める

アナライズコマンドも試してみた

Webから集めて来たいろいろなクラッシュダンプファイルを試してみる
残念ながら（？）私のところのBootCamp環境のWindowsはまだ一度も
ブルースクリーンを出したことが無いのでこういう集めて来たもので試すしかない
こちらはNTカーネルそのもののスタックであることが読み取れる

こちらはNTFSファイルシステムのスタックで落ちたダンプ

相変わらず専門知識がないので猫に小判だがこういう方法で
クラッシュ癖がついたシステムに対処するヒントが得られるかもしれない

ところで余談ながら前回このクラッシュダンプの設定コマンドを
解説しているページを紹介したがGUIでもこれが設定できることに気がついた
マイコンピュータを右クリックしてシステムのプロパティに入って
詳細設定のデバッグ情報の書き込みがそれにあたる
ここでダンプの種類、書き出し先のパス、ダンプの上書きなどを設定できる

クラッシュダンプを簡易な軽いものに限定するか完全な復原を期待するかプルダウンで選ぶ
完全なら良いというわけでもなく青画面で落ちかかっている時に慌ててするバックアップだから
一般的には最小限の方が良いようなことがどこかに書いてあった（不確定情報で申し訳ない）
いずれにしろサーバを遠隔で見ている場合にはやはり軽いファイルの方がいいと思うし
「完全」に設定したからといって完全な情報が得られるとも限らない

Windows7ってやっぱり使いにくくない？そんなことない？みんな使えてる？〜追記あり

先日Windows7のIPアドレスを調べるとか変更するとかの必要が出て、ふと「どうやるんだっけ？」と途方に暮れた経験をした。

自宅でじっくり時間が有る時に触って使い方を学んでいる段階なら、あちこちいじっているうちにわかってくるのかもしれないがWindowsなんて基本仕事でいじるわけだし、操作系は整理していって欲しいなと思う。

もともとWindowsXPの操作系も混乱していてわかりやすいとも言えないが、もうその混乱系に慣れてXPの手順に馴染んでいるんだからあまり変えないで欲しいというのは、Windows7を使い始めたユーザはみんな感じることじゃないのかなぁ？

そんなことない？みんな迷わず使えてる？

現在のIPアドレスを調べたい・・・もうメンドクサイので
コマンドプロンプトを起動してipconfigというコマンドを打ち込む
これでIPアドレスなどを調べることができるところは7もXPも同じ
しかしこれでは答えにならないのでGUIでIPを調べる方法を探す

Windows7の見かけ上変わったのは「マイコンピュータ」、
「マイネットワーク」、「マイドキュメント」などが無くなったこと
元々Windowsのこの操作開始ポイントの概念も意味不明だったのだが慣れると無くなるのも困る
ドキュメントとコンピュータがそれぞれ引き継いでいるのだろうと想像できるが
セッティングをいじる人が一番使うマイネットワークが消えたのは困る
ネットワーク設定に入るにはとりあえずコンピュータに入る

するとコンピュータに並んでネットワークという項目があるのでここで右クリック
なんでこういうレイアウトなのかコンピュータの中にネットワークがあるのか不明だが
こういう風に変わったのだから仕方がない

右クリックのプロパティを開くと「ネットワークと共有センター」に入る
ここの「ローカルエリア接続」という項目をクリックする
わかりにくいレイアウトだ

この「ローカルエリア接続の状態」の「詳細」をクリックする

するとIPアドレス、サブネットマスクなどの、デフォルトゲートウエイなどの
現在のステータスを確認することができる

先ほどの「ローカルエリア接続の状態」画面のプロパティをクリックすると
いわゆる「ローカルエリア接続のプロパティ」に入れた

DHCPを固定IPに切り替えたりDNSサーバを指定したりなどの設定はここでできる
この中の機能自体はWindowsXP時代からそんなに変わっていない
ネーティブでIPv6に対応したくらいの違いしかない

弊サイトは元々MacのサイトなのでWindowsに馴染みがない方のためにXPについても説明する
XPの場合はデスクトップに最初から「マイコンピュータ」、「マイネットワーク」があるか
設定により無い場合でもスタートメニューにマイネットワークが見えていた
そこを右クリック→プロパティで入る

すると「ネットワーク接続」に入れるのでその今使っているネットワークのアイコンを
右クリック→プロパティをクリックすることで「ローカルエリア接続のプロパティ」に入れる
これ自体も混乱したUIだがまだ慣れることができる手順だった

正直な感想をいっていいですか？
WindowsVistaや7が当初予測ほど売れてないとか、企業向けにはXPダウングレードインストールの希望があとを絶たないためにマイクロソフトがいつまで経ってもXPのサポートを切れないという理由は、単にコスト面だけではなく、こういうところも大いに関係してるんだと思うよ。

マイコンピュータやマイネットワークを廃止したというならそれもいい。
新しいインターフェイスは古い概念を切り捨てることも必要だと思う。
ただVista、7の変更に関しては、なんでこんなふうにしたのか意味が分からない。

マイコンピュータやマイネットワークを止めて分かりやすく操作系を整理したというなら意味が分かるけど、前よりも一層分かりにくくなってしまってる。
これはOfficeなんかにも言えることなんだけど、操作の入り口のまとめ方が変で思わぬところが入り口に変更になっていくしその入り口のレイアウトに法則性が無いものだから、毎回どこから入ったらいいのか探してしまう。

先日Autorunを擁護するユーザが
「Autorun機能が無いMacユーザやLinuxユーザが毎回CDRやDVD-Rを挿入して必要なファイル探す学習コストに比べればAutorunのリスクなど小さいものだ」
と言い放っていることを紹介したが、そんな些細な学習コストよりもこういうOSの基本部分の学習コストの方がはるかに大きな問題ではないかと思う。
なぜWindowsユーザはそれを問題にしないんだろうか？
それとももうWindowsXPの割れずディスクを手に入れたからWindows7なんかに慣れる必要はないということなんだろうか。

折角7を手に入れたのに一向に慣れることができないので、ちょっと文句たれモードになってしまった。
全体的にはXPよりも軽快に動き、そういう意味ではプロセスのスレッドなどは合理的になっているのかもしれない。
だから良いOSだとは思うんだけど、ただやっぱり人の目に触れる部分のデザインのセンスがマイクロソフトなんだなぁ。
どうにかならんかね。

＜追記＞

ツイッターにて情報を頂いた。
7の場合は、コントロールパネルから直接ネットワークと共有センターに行けるんだそうだ。
確かめたところ、確かにそうだった。
XPではコントロールパネルを経由するとひと手間多くなるのでこちらを使っていなかった。
というよりコントロールパネルからネットワークを呼び出してまた右クリックでプロパティを呼び出してさらに右クリックでプロパティという入れ子構造がバカらしくてこちらを使っていなかった。

7になってコントロールパネルが洗練されてきたんだそうだ。
その辺まだあまり馴れていないというか、きっとWindowsXPのことなんか何も知らない人の方が早く慣れることができるのかもしれない。

愚痴ってないでもう少しいじってみるか・・・

アップデートかけてないWindowsPCは相変わらず危険だという話〜AutorunテストUSBメモリ作ってます

昨日WindowsのOSが吹っ飛んでディスクイメージから修復している時に面白いことに気がついた。

思うところあっていきなり最新環境に復元しないで、昨年、つまり２０１０年４月にとったディスクイメージからWindowsXPのシステムを復元した。
WindowsXPのSP3で当時の最新パッチが全部あたっているバージョンだ。

この１年前のWindowsXPに久しぶりに引っ張り出してきたAutorunデモ用に作ったUSBメモリを差してみた。

すると最近機能しなくなっていたこのUSBメモリが見事発動してWindowsのデスクトップがこのキャプチャーのようになった。

USBメモリを挿してマイコンピュータのドライブレターのアイコンをクリックすると
メモリが開くのと同時にデスクトップを覆う「感染しました」の文字
これは本物のウイルスではなくちょっとした悪戯でWindowsの
AUTORUN機能のデモのためにテキストファイルで表示している

この悪戯の仕掛けは簡単でUSBメモリ最初の階層にAUTORUN.INFというファイルを置いておき
そのテキストを開くテキストエディタアプリをいっしょに入れておけばいい
ここではテキストエディタはiText ExpressWindows版でテキストの拡張子は.ITEになる

AUTORUN.INFは一種のINIファイルのような簡単なOSの振る舞い記録シートで
文字列はこんな感じのシンプルな表記で動作する
これは『USBメモリをマウントしたら自動実行で「virus.ITE」というファイルを開け
「virus.ITE」を開くヘルパアプリはiText.exeを使え』という意味

今現在の最新版WindowsはVistaも７もXPもこのAUTORUN機能は
無効にされているためにUSBメモリは普通に開くだけだ

これはちょっとした悪戯なんだけど、無意味な悪戯ではなく２００８年あたりから大流行したAUTORUN系のウイルスのデモのために作ったものだ。

AUNTORUN機能の脅威についてWindowsユーザなら誰でも知っているものと思っていたのだが、実際はかなり大部分の人がAUTORUNウイルスの実体を理解していなくて、ウイルスをまるでリアルなインフルエンザかなにかの様に混同して「見えない脅威」とかいっている人と多く接したので、ウイルスとは何かというデモでこれを作った。
ウイルスは正しい方法で特定すれば必ず見える姿をしている。

AUTORUNはキャプチャーのようにWindowsの正規の振るまい記録ファイルの.INFファイルに簡単な記述をして指定のファイルを指定の方法で開けという記述をしているだけだ。

そこには
１）（USBメモリなどの）ボリュームをマウントしたら
２）指定のファイルを
３）指定のヘルパアプリで開け
という３つの条件が記述されているだけだ。

AUTORUN.INFの記述の仕方については、Windows関連のサイトで解説しているページがそれこそたくさんある。

これはUSBメモリを挿したら自動的にアプリが起動してディスクをスキャンしたりデモを表示したり、CDを挿入すると音楽が再生したり、DVD挿入で自動的にビデオが始まったりというWindowsの『便利な』機能を実現する目的で置かれていた。

そしてこの仕組みをそのまま利用したのがAUTORUN系のウイルスで、USBメモリ（だけではない、実際はCDRやDVD-R、HDD、iPod、カメラなどのあらゆるメディア、デバイスがターゲット）を挿入するだけでウイルスファイルが自動実行されるという仕組みだった。

キャプチャではテキストファイルをテキストアプリで開いているが、まんまウイルスの自動実行ファイルやペイロードを実行環境で開くというコマンドに置き換えればAUTORUNウイルスの出来上がりだ。
特別なスキルが無くても誰でもマネできる。
だから２００８年から２００９年にかけてWindows世界でこのウイルスの亜種が大流行したのだ。

キャプチャの通り最新版のパッチがあたっているXPやVista、７ではこのAUTORUN機能は殺されているので、今はこのAUTORUNウイルスは下火になっている。
下火になっているが絶滅したわけではない。

Microsoftは２００９年の年末にすべてのサポート中のWindowsは順次AUTORUN機能を殺すパッチをWindowsUpdateで配布するとアナウンスした。
しかし実際にはキャプチャーの通り２０１０年の４月の最新版WindowsXPではまだAUTORUNウイルスの餌食になる可能性がある。

MicrosoftはこのAUTORUN機能には相当未練があったようで、段階的に対策を施していたがすべて裏をかかれINFファイルで振るまい指定することを禁止して、結局メディアごとに挿入したら何をするかをユーザに自分で選択させる現在の姿に落ち着いたのは最近のことだった。
いつそうなったか調べてみたが正確なところはわからない。
少なくとも２０１０年の４月以降のことで、多分２０１０年つまり昨年の夏以降に今の形になったと思われる。

ということは２０１０年夏以降アップデートを怠っているWindowsXP〜７はいまだにAUTORUNウイルスの餌食になる可能性が残っていることになる。
またすべてのWindows2000、WindowsMeは当然何ら対策がされていないので、ウイルスダダ漏れである。

問題はこの２０１０年夏以降アップデートがあたっていない筐体（及びWindows２０００などの腐ったミルク・・・名言byマイクロソフト）はまだ多数存在するということだ。
ある種のミドルウエア、勘定系ソフト、自動機用のPC、ビデオ編集、再生アプリ専用PCなどは「アップデートすると動作保証できない」という理由でアップデートがあたっていないケースが非常に多い。

しかも「ネットから隔離しておけば安全だ」とばかりに隔離環境のPCにUSBメモリでファイルを渡したりしている。
これで感染事故を起こさない方が不思議で、今私の関係している仕事先の環境でもウイルス騒ぎが起きている。
最近見たものはAUTORUN機能とネットワーク経由で感染するBlasterのような機能を併せ持つ
Conficker
というタイプだった。

これは今でもWindows世界で猛威を振るっているので、注意してもらいたい・・・と書くのも何だか虚しい気がする。

このAUTORNの廃止のアナウンスについて調べていてこういうやり取りを見つけた。
Windows7ではAutoRun無効に、VistaとXPにも順次適用予定 - スラッシュドット・ジャパン

『拡張子を非表示にするのもやめてくれないかなぁ・・・
.scrをダブルクリックで実行してしまう設定もやめてほしいなぁ・・・
hoge.htmlをコピペしようとすると、hoge_filesってフォルダも一緒にコピーするみたいな余計な処理もやめてほしい。。。』


『その頓珍漢な仕様のせいで初心者が挙動を意識しづらいがために攻撃手段になってしまっているという話ね。
便利になる以上に害悪になっている。
そういった意味でAutoRun同様に問題だと思うということです。』


『うーん、 DVD や CD を突っ込んだらとりあえず再生できる、って利便性を享受してる人たちの方が圧倒的に多いと思うよ？

データを記録したメディアを開くにしても、 Windows ならスタート メニュー or デスクトップから /(マイ )?コンピュータ(ー)?/ を開いて、 CD ドライブを開けば…、と考えるかもだけど、例えば同じことを Mac OS 上で、 Linux (Gnome, KDE, etc.) 上で、あるいは触ったことのない他の UI 上で、何の迷いもなく操作できる？

その学習コストを不要にするための機能を、全面禁止にしろ！ってのは、できる人の傲慢じゃないかなぁ。』


『はい。それは全部知っていて、その状況に実際に直面したこともあります。でも私はそんなに困っておらず、それに掛かる手間も大したことないと考えています。

では逆に、それらの機能を全部取っ払ったら、どうなるでしょうか。

〜中略〜

で、つまるところ私が言いたいのは、いろんな機能もデフォルト値も適当に決まってるわけじゃないのよ、と。 Microsoft 自体もいろんな意見は知ってて、さまざまな要因を（少なくとも外側から見て分かる程度には）議論した上で決定を下してる。その結論の前に、「よく言われてる」とか「迷惑がられてる」とか、いくら感覚で主張しても根拠にはならないんです。議論の内容をカバーできる代替案を示せなければ意味がない。

『余計』とか『頓珍漢』とか、いつも根拠なく一刀両断しちゃってない？
一応教える側の人なんだよね？しっかりしようよ。』

これが平均的なWindowsユーザの意識なのかな。
AUTORUN機能なんて１０年前に脆弱性になりうると警告された機能を２０１０年まで引っ張っちゃってウイルスの大流行を許したのに、
「マイクロソフト様が適切に判断してくださるから、その方が正しいんだ」
なんて思考停止したユーザまでいることに驚きを感じる。

それにMacユーザはCDRやDVDを挿入するたびに「学習コスト」とやらに苦しめられていませんから。

Windows式のAUTORUN処理がすべてに勝る方法だと信じ込んでいる人は、せいぜいウイルスもらって楽しんでください。

ていうかBlasterや二ムダを上回る空前の大流行を経験して延べで世界中のWindows機のおよそ３割は何らかのウイルスに感染したという修羅場をくぐったのに、いまだに「自動機能ラブ」なWindowsユーザが、ネットワークから隔離したパッチのあたってないWindows機を専用機環境で運用しているのだ。
原発で「メルトダウン」事故が起きるぐらい不思議でもなんでもない気がしてきた。

以前ここでイカタコ「ウイルス」について取り上げた。
求む！イカタコクラゲフグ『ウイルス』の情報〜なんかヤバそうなニホヒがするのだがいまだに正体が分からない・・・
この時にこのイカタコ「ウイルス」をカッコ付きのウイルスで本物のウイルスではないと分析した。

自己増殖機能がなく、人間の思い込みでファイルを増やしていくのはウイルスではないと思ったからそう書いたのだが、しかし本物のAutrunだってGunmlarだって結局Windowsユーザの思い込みによって増殖している気がする。
その点ではイカタコ「ウイルス」と同じで、Windowsそのものの脆弱性というよりは、Windowsユーザの脆弱性に付け入られている気がする。

ところで、この３点セットの小さなファイルをUSBメモリの最初の階層に入れるだけで、Windows脆弱性テストキットとして使える。
上のキャプチャのように「感染しました」のテキストが表示される人はアウトということになる。

この脆弱性検出キットを希望の方には差し上げます。
勿論危険なファイルでも何でもなく、Windowsの正規の.INFファイルとWindows用アプリとして配布されているアプリと、タダのテキストファイルの３点セット。

しかし上記の通り悪用すれば改造して、ウイルスのエクスプロイトとしても当然利用できる。
この関係は日曜大工の工具で殺人用の兵器だって作れるのに似ている。
こういう場合も「ウイルス配布罪で逮捕」ということになるんだろうか？

Windowsのタスクリストをリモートで見る〜tasklistの使い方メモ

WindowsのOSをサーバ的に常時起動して使うミドルウエアを今扱っているのだけど、WindowsOSはそういう用途には向いていないんじゃないかという個人的な感想を持っている。

まぁ、私の個人的な感想はどうでもいいのだが長期間起動しっぱなしでサーバ状態で運用しているWindowsは非常に頻繁に
「動作が重くなる」「反応しなくなった」「動いたり動かなかったりする」
というような異常な振る舞いをする。

そういう状況になる時というのはWindowsの場合、大体原因が決まっていてその診断の仕方も決まっている。
ローカルなPCなら
Ctrl＋Shift＋Escキー
を叩くとタスクマネージャーを起動できる。
（アクティブディレクトリ化されているなどの環境によってはCtrl＋Alt＋Deleteで強制終了などのメニューが出てくるのでそこから選択）

タスクマネージャーの起動はCtrl＋Shift＋Escキーあるいは
タスクバーの何もないところを右クリックしてコンテクストメニューから起動

起動したタスクマネージャーのプロセスタブに入ってCPUあるいはメモリでソートしてみる
動きが重くなったWindowsの場合ここにメモリやCPUの使用率が
異常に肥大したプロセスがある筈だ
下の「プロセスの終了」ボタンで個々のプロセスをkillできる

そのプロセスを起動しているアプリを「アプリケーション」タブで
探してここから終了することもできる
本当はこの方が安全で間違ったプロセスを終了してOSが落ちるという事故を防げる

このタスクマネージャーのプロセスタブと同じ働きをするコマンドが
tasklist

これを引数もオプションも無しでコマンドプロンプトに入れてEnterするとローカルのプロセスを表示することができる。

ローカルPCの場合、あるいはキーボード・画面に直接アクセスできるサーバの場合はこれでもいいのだが、ネットワーク上のちょっと離れたところにあって直接触れないサーバを診断しなくてはいけない場合もある。

その場合は
tasklist /s （サーバシステムのユーザ名あるいはIPアドレス） /u （クライアントのIPあるいはログイン名） /p （クライアントIDのパスワード）
というようなシンタックスで、オンラインでプロセスを表示できるらしい。
例えば10.0.1.12というサーバにAdministratorでログインしてプロセスを表示する場合
tasklist /s 10.0.1.12 /u administrator
と打ってパスワードを求められるのでAdminのパスワードを入力
これで繋がる筈・・・なのだが実は私のところでいまだに接続に成功していない。

コマンドプロンプトを起動する手短な方法
スタートメニューの「ファイル名を指定して実行」でフォームを開いて「cmd」と打つ
大文字小文字は関係なしでEnterキーでコマンドプロンプトが起動する

そこにtasklistとコマンドを打って実行するとプロセスのメモリ使用率のリストが現れる
大文字表記で指定している解説サイトも見かけるがWindowsのコマンドは
大文字小文字を多くの場合判別しないので気にしないでいい（オプションだけは例外だが）

リモートでしかアクセスできない環境にあるサーバ（キーボードなどが接続されていない、
物理的に離れているなど）はリモートデスクトップ、VNCでタスクマネージャーを呼び出す
図はリモートデスクトップでネットワーク上のサーバ画面を見ている

ところが動きが重くなっているサーバの診断のためにプロセスを見たいわけだが
その動きが重いサーバにリモートデスクトップで接続するのがきつい時が有る
その場合はリモートでtasklistコマンドを実行できる
あらかじめそのために必要なサーバのIPアドレスなどを確認しておこう
ipgonfigコマンドで自機のIPアドレスなどを確認できる

サーバ側のIPアドレスさえ分かっていれば
コマンドプロンプトからサーバの情報を集めることができる
nbtstat -A IPアドレスというコマンドで相手の
アカウント名、グループなどを知ることができる

tasklist /s IPアドレスで相手サーバにつないでみるが
「RPCサーバーを利用できません」のアラート
RPCサービスが起動していないというケースもあるが
この場合は必要なポートが開いていなかった

サーバ側のファイアウォールを切にしてみる

RPCサーバを利用できないという障害はクリアできた
/sはサーバ側のアドレスか名前、/uはログインする名前/pはパスワードの引数になる
引数を入れていないと名前はクライアントのユーザ名になりパスワードを要求される
クライアントのIDとパスワードで接続できるような解説があるが
サーバ側IDとどっちを入れても認証には結局失敗する

それでAdminを有効にするためにサーバをF8キーを押しながらセーフモードで起動する

セーフモードで起動するとデスクトップが真っ黒な状態で起動する
Administratorのアカウントを設定してログインする

AdministratorのIDネームはすべてのPCで共通なので
tasklist /s 10.0.1.12 /u administratorでEnter

しかし以下サーバ側クライアント側のすべてのID、ドメイン、IPアドレス、
パスワード設定を試すが全部失敗という結果に
このまま泥沼状態で今回はあきらめということになった

ということで今回は何が原因かわからないが認証に成功しないまま、あきらめとなった。
うまくいかない方法を書くのも何だが、こういう方法もあるということで。

これをクリアするために随分ググっていろいろな方法を試したんだけど、考えられることを一通りやってもクリアできなかった。

ていうかWindowsのTipsの記事サイトってどこも記述が断片的で、どういう問題が考えられるかとか、IPやドメインをどう取得するとか、手順を追って書いていないところが多い。
単に
「tasklisut /s　サーバ /u ユーザ名 /p パスワード
で遠隔データ取得できる」・・・としか書いていないところが大部分。
ユーザ名がどっちのユーザ名なのか、パスワードはどっちのパスワードかもわからない。
本家のMicrosoftのサイトですらそうなのだ。

Windowsの方がMacやUNIXよりも情報が多いとかユーザはいうけど、こういう解説サイトを本当にみんな満足して利用しているのかな？
Windowsユーザってどうやってスキルアップしているんだろうか？
今回は本当に疑問に思った。

Windowsかなキー問題はやはり深刻か

ここでも最近書いているが、新しい職場環境は１００％Windowsで会社ではWindowsで作業をしている。

職場はPC 持ち出し禁止だけでなく持ち込みも禁止だ。
なので今後私物のMacが仕事で役に立つという場面はまずない。

そのせいでこのMacのOS運用ログから始まったサイトの内容が最近「Windowsの使い方」で埋まっているわけではない（こともない）。
それはともかくWindowsに関しては初心者の私も、見事にはまった落とし穴がある。

「Windowsのかなキー問題」という問題があるのだそうだ。

どういうことかというと毎年春になると、
「パソコンが壊れた」
という苦情が会社の総務部、IT情報部、ネットワーク管理者あるいはPCに詳しそうな人のところに殺到して彼らを悩ませる問題だそうだ。
笑い事ではない。
このクレーム対応のために業務の何割かを割かれて仕事にならないとぼやくネットワーク管理者もいる。

その内容も決まっていて、
「キーボードがおかしくなった。
今まで普通に文章が打てていたのに急に
『みらくらみきらきちなかいみちに』
という感じで変な文章になってしまう。」

「小文字を打とうとしているのに、全部大文字になってしまう。」

「数字が打てなくなった」

という３つくらいに集約できる

これだけでクレーム慣れした担当者はもう何のことかすぐわかるらしいが、もう少しパソのことが分かっているクレーマーは
「かな入力が外れなくなった。入力メニューのKANAボタンをクリックすると、英数が選択されてまた日本語入力に戻すとKANAボタンが復活して外れなくなってしまった」
という言い方をする。

Windowsのかな入力ボタンが何かの弾みで入ってしまったら、ボタンクリックでは解除できない。
この場合の解除法は
Alt＋ひらがな／ｶﾀｶﾅキー
を２回叩く。

上記の３つのクレームのうちの後者ふたつはキャップスロック（Capslock）キーが入っている、ナンバーロック（Number）キーが入っていないという初歩中の初歩のミスだから、別にキーボードが壊れたわけではない。

しかしこのキーロックという考え方がどうしても馴染むことができない。
特にKANAキーは一人のユーザがローマ字入力とかな入力を使い分けるなんていうシチュエーションがあまり考えられないので、その存在意義がわからない。
かな入力を使う人はずっとかな入力で使っているはずだし、ローマ字入力を使っているユーザはハナからかな入力なんか覚える気がない。

なのにこの切り替えキーがあってそのロック機能まであるというのは過剰機能のような気がする。
私も最初このかなロックのワナにはまった。
そういうところにはまるのはMacからWindowsに入ってきた特殊なユーザだけなのかと思ったらそうではない。
ネットで「かなロック」で検索したら
「かなロックが解除できずに困っています」
という質問がゴマンとかかってくる。
かなロックの解除の仕方という解説ページもゴマンとある。
にもかかわらず毎年春には
「キーボードが壊れた、今すぐ直して欲しい」
というクレームが担当者に殺到する。

これはこのUIがユーザにマッチしていない証拠なんじゃないかと思う。
ここでも解除法を取り上げるけど、それでもやはり毎年多くの人が
「キーボードが壊れた」
と質問し続けるのだろう。

WindowsのIMEのところにKANAキーボタンとCAPSキーボタンがある
ここをクリックしてKANA入力に切り替えられるが
ロックがかかるとここをクリックしても解除できない
解除はAlt＋かなキーを２回叩く

KANAキーボタンにマウスオーバーすると「KANAキーロック状態」というバルーンが出るが
これもかなキーにロックがかかっているかどうかを示しているわけではない
ここでロックがかかっているかどうかがわかるよということを教えてくれているだけで
余計なお世話というかなんとなくユーザの感覚とちぐはぐなUIだという気がする
そう思うのは私がMacユーザだからかと思っていたが
かなキーに関する質問がネットにたくさんあるのを見ると皆ピンと来ていないらしい

FTPアップロードしたフォルダにWindowsでアクセスできない〜ftpサーバ運用の追記

まだまだ続くftpサーバネタ・・・早くIISとVPNに行きたいのだが、なかなか前に進めないなぁ。

という愚痴はともかくWindows機とも共有したいファイルをいろいろアップロードしていて、ちょっと問題が起きた。
アップロードしたWindows、LinuxのバイナリがWindows機からアクセスできない。

最初アクセス権の問題かとも思ったが、アクセス権を変更しようにもアクセスできないのでリモートからはどうにもならない。

それで結論からいうと久しぶりの文字コード問題、文字化け問題がこの原因だった。

最近WindowsとMacの文字コード問題はAppleとMicrosoftの良好な関係により、ファイル手渡しの世界では気にすることが無くなってきた。
ファイル共有でLAN越し、あるいはリムーバブルメディアでファイルを渡した場合、文字化けして開かないということは無くなってきた。
メールの添付の場合はそれぞれの環境によるが、それでもほぼ無くなってきた。

しかしこれは文字化けの原因が無くなったわけではない。
関係が良好になってきた双方が、それなりに対策をして文字化けしなくなっただけでMacのUTF-8-Mac、WindowsはUnicodeベースのSJIS変換が使われており、そのやり取りの過程では複雑な変換が行われている。
これは相互にそういう仕組みを作り上げてきたのだが、その仕組みはどんなシチュエーションでも有効に働いているわけではない。
FTPなんてのは対応しなくてはいけない状況として優先順位は低いのかもしれない。

クラウドだのなんだのいっている時代にそれはどうかなと思うが、とにかくFTPにアップロードするファイル、フォルダ名に日本語は厳禁だ。
特にMacユーザ。
MacからWindowsにファイルを渡す時に、この弱点は如実に障害になるのでMacユーザは基本的にはファイル名、フォルダ名に日本語を使うなということを推奨したい。

ftp上でのこの問題の解消法は以下の通り、

あまり気にしないでCyberduckから日本語のファイル名、フォルダ名をアップしていた

するとWindowsのFTPクライアントから覗くと文字化け
文字化けしてるだけならいいが下のアラートは「ディレクトリの中を表示できない」という意味
文字化けのパスは操作することができないらしい

FTPサーバ上のディレクトリの編集はCyberduckではこうやる
該当フォルダを選択してコマンド＋Iキーで情報ウインドウを表示
ここでフォルダネーム、ファイルネームを変更できる

ちなみにアクセス権も変更するなら情報ウインドウの「アクセス権」タブへ
FTPでファイルを受け渡しする場合はグループやその他の人にも
「読み」だけでなく「書き」「実行」の権利を与える
アクセスしているのが自分でも他のWindows機でアクセスしている時は
「その他」に分類されているからだ
リストのアクセス権が希望通りに変更されたかを確認すること
これはrは「読み」wは「書き」xは「実行」-は「アクセス不可」を表す
オーナー、グループ、その他の４つのステータスを続けて書くのが決まり

リスト再読み込みすると英語のディレクトリネームに

WindowsのFFFTPからFTP接続すると英語に変わった

そしてちゃんとディレクトリの中に入って中身も表示できるようになった
つまり結論は「他プラットフォームと共有する可能性があるフォルダ、ファイルに
日本語の名前は禁止」ということだ

ファイルの日本語名について思い出話・・・というか恨み言をひとつ。

私は長年の経験で他人に渡す可能性のあるファイルには基本的に英数文字だけのファイルネームしかつけない。
（相手が確実にMacユーザだと分かっている場合は例外もあるが）
数字は使うが記号も原則使わないし、日本語も使わない。
20110529mactips.txt
というような感じで大体ネーミングする。
こうすれば日付の順にリスト表示できるので、Windowsのような環境でファイルを探すのも合理的だ。

ところが以前の職場でこのファイルネームは

「ビジネスエチケットに反する」

このファイルネームも無意味にこうしているわけではないとプラットフォームのファイル名問題の話なんかすると
「これだからMacユーザは困る、Macなんか捨ててWindowsにすればいいのに」
という低レベルな話に落ち込んでしまい、あとはお決まりの思考停止。

メール添付で数字＋日本語ファイル名を添付して送るとWindows2000のOLでは文字化けするというバグがあって、今でも改善されていないっぽい。
大体そもそもWindows2000はMicrosoftもサポート外だし。

そんな「腐ったミルク」使っている連中に「添付ファイルのビジネスマナー」の説教されるいわれもない。
「Macなんか止めてデファクトスタンダードのWindows使え」
なんてWindows2000ユーザの連中なんかに言われたくないもんだ。

しかし彼らは「自分たちこそビジネスマナーの体現者」だと信じきっており、添付ファイルに英数文字を使うのは「コンピュータヲタクの非常識人」と決めつけている。
こうなると事務屋と技術側の発想をする人間の間に深い溝があるとしかいいようがない。

といったって私だって根っからの技術屋ではなくて、元々文系だし制作出身だし、そういえば文学部を卒業してるくらいのド文系なのだが。

幸い今はもうそういう低レベルの議論をしなくてもいい職場なので、時々昔を思い出して
「あの頃はひどかったな」
とつぶやいているだけですむのだが。

Windowsのローカルフォルダにドライブレターを割り当てて「マウント」する方法

Windowsのドライブレターの割当の方法についての自分向け覚え書き。

Windowsのドライブに自由にドライブレターが振れるというのは前から知っていたのだが、Windowsの場合そのドライブレターを振る相手はリアルなドライブやディスクイメージでなくてもいいということを最近知った。

極端な話内蔵ディスクの中にあるディレクトリにドライブレターを振って「仮想ドライブ」にすることができる。

これが何に役に立つかというと、外部のドライブ・・・例えば外付けハードディスクとかの関係を切りたいがそこにリアルタイムで動いているサービスを止めたくないというようなケース。
実は最近仕事でそういうケースにあたって、こういう方法があるのだということを知った。
これはドライブレターがあるWindowsの独特の知恵だと思う。

例えばサーバの上で動いているサービスアプリ。
リアルタイムにログを吐いていて、そのバックアップをまた数分に一度というポーリング頻度で外付けハードディスクにバックアップしている・・・というような構成にしているとする。
Cドライブ上でサーバが動いており、バックアップ先は外付けのZドライブ。

この時にこの外付けハードディスクを交換する、あるいは修理対応でしばらく外さないといけないとなった時、バックアップ先のドライブを変更して再起動しないといけない。
このサーバーアプリが実はそう簡単にいつでも気軽に再起動できない種類のサービスを提供していたら、この作業は面倒なことになる。
例えば放送用とか、各種の自動サービスの中枢とか。

たかがバックアップ用の外付けハードディスクを外すだけでサービス全体を止めるのも・・・という向きには使えるTipsだと思う。
特にアプリの性格上各ドライブの直下にしかバックアップを置けないという場合は役に立つ。

他にはどんな時に役に立つのかな・・・多分サーバと共有関係が絡んでくる場合だと思うけど。

参考にしたのはこちらのサイト。

スーパーユーザーのためのWindowsコマンド再入門：substーパスをドライブ名に割り当てーITmedia エンタープライズ

WindowsXPでローカルフォルダにドライブをマウント（割り当て）する方法（仮想化）ーMiuxMiu

ディレクトリを仮想的なドライブとしドライブレターを割り当てるコマンドはコマンドプロンプトを呼び出して

subst Z: C:￥test

これでCドライブな直下の「test」という名前のフォルダがZドライブとしてマウントされる。
削除する方法は

subst Z: /d

Macの場合はボリュームを見ているから、マウントされるのはデバイスとボリュームだけなのだが、Windowsの場合はこの方法で普通のディレクトリも仮想ドライブとしてマウントできる。
これは面白い。

仮想ドライブを作る方法は以下の手順
例えばCドライブ直下に「test」という名前のフォルダを作っておく
別にどこにどんな名前のフォルダを作ってもいいのだがここに置くのはパスが単純になるから

スタートボタンの「ファイル名を指定して実行」でフォームに「cmd」と入れてEnter
あるいはすべてのプログラムのアクセサリー、システムツールから起動とどちらでもいいが
コマンドプロンプトを起動してsubset Z: C:￥testというコマンドを打つ
これはCドライブ直下のtestという名前のフォルダにZドライブを割り当てよという意味

するとマイコンピュータを開いた時にZドライブという新しいドライブが増えている
ドライブの大きさも空き容量もCドライブと全く同じだが
勿論ディスクの容量が倍になったわけではない

エクスプローラーで見るとこのZドライブはマイコンピュータの中に
他のドライブといっしょに並んでいてCドライブの中にあるわけではない
これを利用すればサーバアプリのログの保存先をこちらに変更して外付けハードディスクを
外せば再起動が必要ないのでサーバ管理者には柔軟な運用が可能になる筈だ

WindowsのAdminパスワードは簡単にクラックできるぞ！

先日
OSXのrootパスワードはシステムディスクがなくてもリセットできる〜ていうことはrootパスワードではプライバシーも何も守れない！？
という趣旨の記事を書いたところ、
「それ見ろ、やっぱりMacはWindowsよりもセキュリティ脆弱なOS」
というささやきが聞こえた。
わからないようにささやいているつもりでも、ちゃんと見えてるんだからね。

それで、どうしてもそういうことを言いたい人達に面白い情報を教えてあげたくなった。
何が何でも「Windowsと比べて」ということを言いたいのなら、そのWindowsがどれほど堅牢なOSかを紹介したい。

参考にしたのはこちらのサイト。
WindowsXPのパスワードをOphcrackを使って解析する方法 - http--pnpk.net

まずはOphcrackというパスワードクラッキングソフトのLiveCD版をダウンロードしてくる。
ここで手に入る。
ophcrack - Browse Files at SourceForge.net

これをライブCDにするために、isoファイルをCDRなどに書き出す。
いろいろWindowsの場合はお薦めソフトがあるようだが、私はこちらのDeepBurnerを使った。
DeepBurner - Powerful CD and DVD Burning Package

こうしてでき上がったLiveCDをディスクドライブに入れて、後はそこから起動するだけだ。
それで簡単にWindowsのAdministratorパスワードは見えてくる。
別に難しいコマンドを打つ必要もない。
タダ見ているだけで、パスワードは解析できる。

誤解の無いように言えば、このOphcrackは窃盗犯や横領犯向けのアングラソフトではなく、
「管理者が何代も変わってしまったために、会社で使っているPCの管理者パスワードがわからなくなってしまい、セキュリティアップデートもできなくなっている」
「Adobeのアップデートに管理者権限が必要だなんて知らなかった」
なんていうカッタルイ管理者によってセキュリティホール満載になったPCをなんとかするために必要なソフトで、別にハッカー集団専用のソフトというわけではない。
（これらの例はすべて実話なのが悲しい）

さらに誤解の無いように言えば、このツールでクラックできるのは物理的にいじることができるパソコンだけで、これを使ってオンラインでパスワードを破ることができるわけではない。
それは以前に紹介したMac OSXのパスワードリセットも同じ話だ。
だからまず第一義的には、コンピュータを紛失したり盗難に遭わないように気をつけましょうということになる。

このOphcrackはLinuxのポータブルでLiveCDを構成し、その上でパスワード解析ソフトを自動的に走らせる仕組みになっているようだ。

それで、この対処法なのだがWindowsの『レインボーテーブルと呼ばれている予めハッシュ値を計算したテーブル一覧を使ってパスワードを解析』しているので、こういう対処法になるのだとか。
Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法

レジストリをイジルし正直、誰にでもお勧めできるような方法ではない。
というより大部分のユーザは、この問題を自分で解決することができないだろう。
結局結論は
「盗難・紛失に気をつけろ」
ということしかない。

Ophcrackは上記リンクのここで手に入る
一番上のlivecdというバージョンをダウンロード、ファイルは.isoになる

Ophcrackの使い方はあまりにも簡単なのでLiveCDの作り方から解説してしまう
ダウンロードしてきたDeepBurnerをインストールする
日本語にも対応しているのでインストーラの指示に従って必要な設定で進行
シェアウエアのPro版とフリーウエア版が用意されている
後者でも機能は充分

インストールは順調に進む

デスクトップにできたショートカットをクリックすると
何をするか聞いてくるので「ISOイメージの書き込み」を選択する

まずはISOイメージの指定
パスウインドウの右のボタンでダウンロードしてきたOphcrackのISOイメージを指定する

CD-Rの生ディスクを入れたらあとは「ISO書き込み」で

あとはLiveCDディスクが焼き上がるのを静かに待つ

CDRが焼き上がったら再起動
この場合BootCampのWindowsXPをクラックするので
optionキーを押しながら起動で起動ボリュームにCD-Rを選択する
ネイティブPCの場合は何もしなくてもここから起動するらしいが
開かない場合はF2キーなどでBIOSをいじって起動する

見たところやはりLinuxOSらしい
OSが起動したらクラックソフトのOphcrackも自動的に起動する

この通り３分半でもうAdminパスワードは見えている
ユーザを設定して別パスワードにしたとしても
Adminが出ている時点で全部スルーされてしまう
このようにWindowsの管理パスワードはクラックもリセットも簡単なのだ

なおこのOphcrackのLiveCDはBootCampのWindowsXPのパスワードは簡単にクラックしたが、仮想マシンのWindowsに対しては無効らしい。
「VMWare＋仮想マシンWindowsのオレ大勝利」
等と喜んではいけない。
仮想化ソフトのベースで動いているMacもLinuxもパスワードはリセットできるわけだから、結局管理者パスワードでモバイルPCのプライバシーを保護するという考え方自体が、限界があるということだ。
結局MacもWindowsもどちらが安全かというとどっちもどっちという結論になる。

＜追記＞WindowsのBIOS画面に入る方法〜LiveCDから起動できない場合の対処法

先日、こういう記事を書いた。
WindowsのAdminパスワードは簡単にクラックできるぞ！

この方法はLinuxベースのLiveCDで起動するパスワードクラックソフトを走らせるというもので、非常に簡単な方法でWindowsXPのAdminパスワードを抜くことができるというものだった。
ところが、この時にLiveCDをドライブに入れて再起動すれば必ずそこから起動できるのかという問題をさらっと流してしまった。

しかしこの方法をひょっとしたら仕事で使わないとも限らない立場になってみると、この解説を飛ばしてしまったのはいかにも不親切な気がしてきた。
大抵の場合はLiveCDは挿入して再起動すれば、そこから起動できるように調整されているそうだ。
しかしWindows世界はMacの世界ほど規格化されているわけではない。
ベンダーによって、機種によってやはり起動できないケースは当然あり得る。

LiveCDを挿入しても内蔵ディスクのWindowsから起動してしまう場合は、BIOS画面に入って、そこでBOOTボリュームの選択メニューで起動メディアを選ぶことでLiveCDから起動できる。

LiveCDから起動できない時にはBIOS画面に入ってBootメニューに入る
ここで上下カーソルキーで起動したいメディアを選択する
LiveCDから起動したい時にはCD-ROM Driveを選択してEnter

さて問題はこのBIOS画面に入る方法だ。

これがメーカーによって、機種によっても違うらしいが調べたところ大体こういうことになっているらしい。

勿論これは目安で、大体こういう傾向になっているというだけで、実際は機種によって違うかもしれない。
メーカー品なら付属の取説に書いてある筈だが、設備の保守をする時には取説が手に入らないこともあるのでこういう傾向を知っておくと便利なのではないかと思った。
それでまとめておく。

＜追記の追記＞
蛇足ながらMacの場合光学ドライブに挿入したLiveCDから起動したい場合、BIOSだのどうだのいう必要はない。
Optionキーを押しながら起動すると、起動できるボリュームのリストを表示してくれるので、左右カーソルキーで選択してEnterキーでそこから起動すればいい。
その方法でBootCampのWindowsからもLiveCDのLinuxからも起動できる。

以上余談終わり。

Windows無手勝流にチャレンジ〜すべてのセキュリティ設定を外してネットに接続しまくったらどうなるか実験してみた

もう表題の通りだ。
むかし、といってもそう遠くない昔、Windowsのウイルス対策ソフトやセキュリティの設定を全部外してネットサーフィンをやったらどれくらいウイルスを拾うかという実験をやっていた人がいた。

Windowsがまだイケイケの時代だったので、２〜３時間で２０個ほどのウイルスを拾っていたと記憶している。

それを見て以来「いつか自分もやってみたい」と思っていた。

これも仮想化ソフトの恩恵ということで、Windowsの仮想化環境があることだし、システムぶっ壊れても十数分で元に戻せるのでやってみることにした。

手順としてはこういうことをした。

１）ウイルス対策ソフト（AVG）を完全にアンインストール、常駐サービスも残っていないかコンパネのサービスで確認
２）ファイアウォールを完全に止める
３）ルータ（Air Mac BaseStation）を外してDSLのターミナルにMacを直差し、ターミナルの設定をNATに
４）この状態でOutlook Expressを起動して各種フリーメールも含めてメールを吸い込み放題
５）MSNのページ、Google検索、２ちゃんねる等を起点にネットサーフィン、リンク先のページのリンクはすべて踏む
６）ただしOSはWindowsXP SP3のアップデートやパッチは全部当たった最新バージョンで
これを古いバージョンを使うまでやるとちょっと非現実的なので

「現実的」って、そんな使い方している奴オランで・・・とか思っているでしょ？
ところが以前の職場でPCをそういう使い方をしている人物が二人もいた。
そのうちの一人が持ってきたUSBはウイルスをたっぷりと吸い込んでいた。
そのことを指摘すると
「ウイルス対策ソフトは何を買ったらいいですか？購入費用を会社に請求できますか？」
とのたもうた。

WindowsのセキュリティはMacと比べてシビアだと思っているMacユーザもいるかもしれないが、Windowsの世界も実はこんなもんだ。

ならばこういうことをするとどうなるのか、日々実験だ。
まさに徒手空拳、Windows無手勝流・・・真剣白刃取りに挑戦でござる。

まずはウイルス対策ソフトを「コントロールパネル」の
「プログラムの追加と削除」でアンインストールする
私のところではスタンダードなAVGはエージェントが
残ることがあるのでコンパネの「管理ツール」→「サービス」で確認する

ファイアウォールも外す
Windowsを使用する上で最後の砦のファイアウォールを外すったら外す

あまり関係ないけど気分の問題で「自動更新」も外す
ただしOSは現時点では一応大きなセキュリティホールがない筈の
WindowsXP SP3の最新パッチが全部当たったバージョンを使う
わざと穴がある旧バージョンを使うこともないだろうと思ったので

こうしてセキュリティセンターの評価最悪の「危険なWindows」の出来上がり

余談ながらこの状態のWindowsは非常に軽快でパキパキ動く
セキュリティ無関心なWindowsユーザがこういう状態で使いたがるのもよくわかる
実に快適な動作だ

ついでにルータとして使っているAir Mac BaseStationを
外してADSLのターミナルにMacを直つなぎする
http://（IPアドレス）でターミナルに入ってNAT等の設定をやっておく

そしてWindowsを起動してOutlook Expressで
スパムまみれのフリーメールをがんがんダウンロードする
ああっ・・・やってはイケないことをやるのって快感！

ブラウザは勿論、誉れ高きInternet Explorerだ

MSN、Google、2chなどからすべてのリンクをどんどんクリックするというルールで
一時間「ネットサーフィン」ならぬネットボーリング（？）を敢行

するとｷﾀ━(ﾟ∀ﾟ)━!
一時間もしないうちにワンクリ詐欺マルウエアにデスクトップで常駐いただけた

さてこのテストの結果の方だが、あまり思わしくなかった。
２〜３時間で２０個ほどのマルウエアを捕獲したという先例からいうなら、１時間で１０個くらいは捕獲できるかと思ったが、ワンクリ詐欺マルウエアを１個拾っただけだった。
ちょっと期待はずれ。

だからってセキュリティに無関心なWindowsユーザの諸君は
「なんだ！　Windowsも案外安全じゃん、Macみたいにウイルス対策ソフト無しで使ってもいいんじゃね？」
なんて思ってはいけない。

このワンクリ詐欺マルウエアはなかなか手強い奴だったからだ。

一応ルールとしては、２ちゃんねる、MSN等を起点にしてwebサイト３枚までという制約ですべてのリンクを無条件でクリックするということでやってみた。
するとこうしたメジャーどころのサイトからでも、たった数クリックでこうした悪質サイトのワンクリ詐欺に引っかかった。

内容は
「お前は弊サイトが提供するアダルトコンテンツを有料で見る契約を承諾してクリックした
７２時間以内に数万円の入会費を振り込め
さもないと法的処置を講ずることもある」
というような内容のアラートポップアップがデスクトップに数分おきに出てくる。

問い合わせのメールアドレスなんかも書いてあるが、勿論こんなところにメールで
「心当たりが無いから解約してくれ」
なんて送ったりしたら、偽の弁護士事務所から
「依頼人から請求に応じない悪質なユーザに対する法的処置の依頼を受けた弁護士◯◯である
支払いに応じない場合は◯◯地裁に提訴して公表事件とする
会社や学校、家族に知られたくないなら支払いなさい
なおあなたの住所氏名、電話番号などはすべて把握している」
という返信が来るに違いない。

実際にはIPアドレスとメールアドレスぐらいしかわからない筈だが、それで関西在住とか関東在住とかそれくらいは絞れるので、そういうブラフをかけてくるかもしれない。

そしてデスクトップには例のポップアップがいくら再起動しても、すべてのアプリをタスクマネージャーで止めても執拗に出てくる。
きっと初心者だったら神経が参ってしまうだろう。

それでこれを完全に掃除する方法だが、結構苦労した。

まずはこのアダルトアラートを表示しているプロセスを特定することから始めた
すべてのアプリを終了してもまだ出てくるし再起動しても数分おきに出てくる
何かの常駐プロセスにやらせているに違いないと踏んで
タスクマネージャーでいくつかプロセスを止めたところビンゴ
mshta.exeというプロセスがこのポップアップを表示していた

以前テストしたMac向けスケアウエアは偽のブラウザを偽装した偽プロセスが
ポップアップを表示していたが、MacからSpotlight検索した「mshta.exe」の数と場所は
バックアップディスクの中の健常なWindowsと同じだった

それで、こういうhta（自動実行）プロセスを悪用する実例がないかググってみたところ比較的簡単に参考になるサイトが見つかった。
こことか・・・
mshta.exeによるワンクリック不正請求詐欺サイト　月桂樹葉
ここあたり・・・
自動実行する mshta.exe プロセスを削除する方法
が参考になった。

Windows世界では割とありふれた手法らしい。

まずはスタートメニューの「ファイル名を指定して実行」を開いて「msconfig.exe」と入力して検索

mshtaという項目があればチェックを外す
この場合は見当たらなかった

次に同じくスタートメニューの「ファイル名を指定して実行」に「regedit.exe」と入力して検索

Windowsの心臓部であるレジストリエディタを開く
できればこういうものは一生開かずにいたかったが仕事もWindowsの心臓部をいじる仕事に
替わったところだしWindowsのレジストリやライブラリにも慣れていかなくてはいけない

ここでmshta.XXXXXXXXXX.htaという名前のファイルを探す
探すべきディレクトリは下記の通り
.htaの拡張子があるファイルはこれだけだったので
どうやらこれがポップアップを出していた本体らしい

これを削除する方法は「編集」メニューから「削除」
これでポップアップは出なくなった

さらにAVGを再びインストールしてディスク全域をスキャン
別のウイルスファイルを発見した

こちらもhta関連のファイルで
「JS/Generic」なんて立派な名前をいただいたトロイの木馬だった
これの動きはバックヤードで気付かれずに特定サイトに
不正アクセスして自動クリックするということらしい
これでアフィリエイトで一稼ぎできるし例のアダルトサイトにアクセスさせれば
また削除した「ワンクリ詐欺ポップアップ」を復活させることもできるだろう

隔離室から右クリックで特定ディレクトリに復活させることができる
このサンプルはありがたくいただきました

ということで上記リンク先を参考に探してみた結果、私の場合
マイコンピュータ\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
というディレクトリに
mshta"C\Documents and Settings\All Users\Application Data\eromd\××××.hta"
というレジストリを見つけたのでこれを削除した。

ここらあたりも怪しいものがある可能性がある。
マイコンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
マイコンピューター\HKEY_USER\(各ユーザー)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
またhtaという拡張子を使っていないかもしれないが、頑張って探してみて欲しい。

またこのポップアップを表示していたファイルとは別のトロイの木馬として検出されたファイルは、感染しても全く気付かれずに完全にバックヤードで、特定のサイトにアクセスしたり自動クリックできるなどの機能を持っていて、もともとはアフィリエイトで不正な利益を上げるためにバラまかれたものだったそうだ。
危険度は低いながらも、これを利用して暫く時間をおいて例のポップアップをまた復活させるなんてことにも利用できそうだし、この組み合わせは結構悪質だと感じた。

いやぁ、Windows世界は楽しいねぇ。
またそのうちもっと長時間、もっとディープなところにもどんどん踏み込んで実験してみよう。

ということで今回は、このBootCampボリュームのWindowsはキレイに削除してWincloneでまっさらに戻しました。
これはやっとかないとコワいからね。
よい子の皆さんはマネしないように。

Windowsのコマンドプロンプトの使い方を知りたい〜他、IISやRAIDなどもろもろ知りたい

知りたいんです。

ていうか今まで、Windowsを触ってきてこことdll、レジストリエディタだけはアパシーというか触ってこなかったんだけど、ほんとはWindowsを使えるというのはこういうところを触れることを言うんだと思う。

その中で比較的取っ付きやすいのはコマンドプロンプトで、黒画面に文字でコマンドを打ってEnterで実行していくスタイルと、コマンドの文字列がUNIXのシェルに似ていて、馴染みやすくないこともない。

実際にはUNIXと似たとこも多いが違うところも結構多くて、DOSローカルルールも多いから戸惑うことも多い。

それでDOSコマンド解説サイトを探していたらいくつか見つけた。

WindowsのDOSコマンド(Hishidama's Windows DOS-command Memo)

ここのサイトが良いのは「UNIXの◯◯にあたる」というリンクを各コマンドにいちいち書いてくれていることだ。
中にはpingとかmkdirとかUNIXと同じコマンドもあって、こういうのは見ただけでも意味が分かるのだが見ただけでは意味が分からないコマンドも多い。
またfindはUNIXのgrepにあたっていてfindとはややニュアンスがあるとか、やはり解説を読まないとわからない違いもある。

私のようなDOS初心者にはありがたいサイトだ。

コマンドプロンプトを使ってみよう！ーディレクトリ・ディスク操作

もうひとつ参考になったのは、こちらのサイト。
コマンドって、その名前と意味、オプションの種類だけ書いてくれても使い方が分からないんだよね
オプションをどう書くのか、引数の記述の仕方は？、約物とオブジェクトの間に半角スペースが要るのか要らないのかとか細かいことがあって、実際の用例を書いてくれた方が役に立つことがある。

このサイトはその文例をコマンドごとにいくつか書いてくれているんだけど、これが案外助かる。
もっとたくさん書いてくれると嬉しいんだが。

ところでDOSって何の略だったっけ？
ディジタルオペレーションシステム？
ということはアナログオペレーションシステムもあったのかな？

wxp-トラブル

これもこれから役に立ちそうなサイト。

WindowsアパシーになってMacユーザになってからもう十数年経つが、Windowsももう昔のWindows９５ではない。
といってもメンテナンスフリー、トラブルフリーというわけでもない。

トラブルはある。
というよりも正直最近ではWindows環境で仕事しているのでWindowsにはWindowsの独特のトラブル癖があるなと思っている。
Microsoft信者がなぜそれを認めようとしないで、クラッシュはMacの専売特許のようなことを言うのか理解しがたいと普段から思っているのだが、知らないだけなのか他人のブドウは酸っぱいからなのか

ともかくWindowsは結構トラブルフルなOSであるということを前提に「起きて欲しくないことは起きないことにする」んじゃなくて、そういう時に対処できるようにトラシュー関係もこれから勉強していこうと思う。

IISの基本設定をしていこう

ASP関連(IISの初期設定と動作確認)

ここでも時々取り上げているMacのFTPサーバだが、先週の復活以来一週間落ちないでガンバっている。
まだ一週間なのだが長年の勘で、今回はもう落ちないんじゃないかという気がする。
相変わらずmDNSResponderのエラーは時々吐き続けているが、数分で復帰するしその間も通信が止まるわけではない。
ここが今までの動作と違うところなので、このまま夏を乗り切れるかもしれないと思う。
実験的なサバなんだけど、動くとなるとといとおしくなるものだ。

ところでMacの鯖が動くならWindowsの鯖も動かしたくなるのが人情だ。（ホントか？）
Windowsのファイル転送サービスのIISを近いうちに試してみたいとかねがね思っていた。
その参考サイトも見つけたのでリンクを張っておく。

近いうちに試す

RAIDの基礎知識ーRAIDレベルを理解しようー

さらに近いうちに試してみたいものがもう一つあって、NASを作ってみたいなと思っている。
勿論今では安価なNASが家電店でも売られていて、こういうのはプロのネットワーク技術者の領域ではなくなってきている。
でもどうせやるんならMacOSXかWindowsで、RAIDの構成から始めて構築してみたいと思っている。
MacにはネイティブにRAIDサーバになれる機能がバンドルされているので、これを試してみたいと昔から思っていた。
RAIDの要諦を知っておきたいと思っているので、ただいま勉強ちうだ。
いつか試す。