◆ はじめに ◆

ここでは、コンピュータウィルスの駆除を支援する道具として「BootRescue」CDを利用する方法を紹介します。

あくまで、アンチウィルスソフトの働きを支援するもので、「BootRescue」自体はウィルス駆除の機能を持っていませんのでご注意ください。

最近のウィルスは自分をパソコンの利用者に発見されないよう、感染した後にパソコンで稼動しているアンチウィルスソフトを停止させる動きをするものが非常に多くなっています。

このため、Windowsを起動した状態でのアンチウィルスソフトを使ったウィルス検出が大変困難で、一般のユーザは感染していることさえ分かりません。

もちろん企業でPCやネットワークの管理者を行われている方であれば、TCPポート80番での不正な通信や、IRCサーバへの不正な通信をしているパソコンを特定し、一見普通に使えているパソコンが何らかのウィルスに感染しているところまでは突き止めることができるでしょう。

しかし、せっかくそこまで分かっても、アンチウィルスソフトが動かないので、感染しているウィルスが何であるか分からず対策が立られない！といったことはないでしょうか。

またアンチウィルスメーカが提供するWebでのオンラインでのウィルスチェックサイトは大変便利ですが、これを使うときにはWindowsで起動してネットワークに接続して利用しなければならないため、その間どうしてもウィルスが活動してしまいます。また、最近ではこういったオンラインチェックサイトも感染しているウィルスに利用をブロックされてしまう場合が見受けられます。

このとき、「BootRescue」を活用して、ほかの健康なパソコンからネットワーク経由でハードディスクの中身をスキャンし、どういったウィルスに感染しているかが調査できます。また、この間Windowsを起動しないため感染しているウィルスは活動できません。

その手順を説明します。

説明の中で、不明なウィルスに感染したパソコンを「要救助PC」、ネットワーク経由で「要救助PC」のウィルス調査を行う健康なパソコンを「救助PC」と表現 して説明を進めていきます。





要救助PC		救助PC
不明ウィルスに感染したパソコン		不明ウィルスに感染したパソコンのウィルスを調査する健康なパソコン

※救助PCには市販のアンチウィルスソフトがインストールされている必要があります。

◆ BIOSの設定 ◆

まず、CDから起動できるよう要救助PCのBIOSの設定を行います。





• 要救助PCの電源を入れ｢Delete｣や｢F1｣等を押してBIOSを起動してください。
  
  

  要救助PC
  BIOSを起動してください。

  ※BIOSの起動についてはPCのマニュアルをご確認下さい。マニュアルがない場合はPC電源ON直後に出るメッセージで判断してください。

  
  

• 起動順序の設定項目で、HDDよりCD-ROMが優先するように以下の例のように設定してください
  
  ※BIOSによって画面イメージが違いますので、上図は参考程度にご確認ください。
  

◆ ネットワーク準備 ◆

• 要救助PCと、救助PC同士をLANクロスケーブルやHUBで接続してください。

  
  

  要救助PC		救助PC
  	LANクロスケーブル やHUBで接続

  
  

• 接続する場合のユーザ名は「root」になりますのでそのパスワードを決めてください。
  

  ユーザ名	root
  パスワード		←決めてください

  ※BootRescueのバージョンが1.13以前の場合はユーザ名は「knoppix」となります。
  

  
  

• 救助PCのWindowsのバージョンが「Windows95,98,98SE,Me」といった古いバージョンの場合は、「コントロールパネル」-「ネットワーク」で 「Microsoftネットワーククライアント」を導入し、Windowsから一旦ログオフして、ユーザ名「root」と、上で決めたパスワードを用いてWindowsにログオンし直しておいてください。

  		救助PC
  		古いバージョンのWindowsの場合、ユーザ名「root」でログオンしておく。

  ※BootRescueのバージョンが1.13以前の場合は「knoppix」でログオンしておいてください。
  

◆ ハードディスクの共有 ◆

• 要救助PCのCDドライブに「Boot Rescue」のCDを挿入し電源を入れて起動します。

  要救助PC
  ↑↑↑挿入↑↑↑
  「BootRescue」CDを挿入し、電源を入れて起動。

  
  

• 起動直後「Boot Rescue」の起動画面が表示されます。
  「boot:」メッセージが表示されている状態でそのまま「ENTER」キーを押してください。
  

  起動処理が始まります。
  

  ※Ver1.12より、この起動画面で「knoppix 2 [ENTER]」を入力すると、以降の処理で全ての設定を自動で行う「自動共有」がご利用頂けます。
  ※Ver1.12より、この起動画面で「knoppix 5 [ENTER]」を入力すると、共有を行わずKNOPPIXが起動します。

  
  

• 以下のような画面サイズの問い合わせが出る場合がありますので、その場合はそのまま「SPACE」キーを押し、進んでください。

  You passed an undefined mode number

  
  

• 搭載メモリが少ない場合は、スワップと呼ばれる仮想メモリ領域をハードディスクから取ろうとしますが、その場合はハードディスクを指定せず、処理を続行させてください。

  
  

• 起動処理完了後、以下の画面が表示されIPアドレスを設定するよう指示が出ます。

  1. IPアドレスを設定して下さい。 [ ENTER ]

  ※ここで「Sorry! Can't find Frame buffer device.」 と表示された場合は、フレームバッファデバイスのドライバが合っていませんので、 日本語が表示できません。その場合は表示のみ英語になってしまいますが、ディスクの共有は可能です。 以降の画面の表示を日本語に読替えて作業を進めてください。

  画面の指示通り「ENTER」キーを押してください。

  
  

• IPアドレスの設定画面が表示されます。
  
  まず、ネットワークカードが複数搭載されている場合はどのネットワークカードに IPアドレスを設定するか以下の画面が出ますので「↓」「↑」キーで選んで、[ENTER]キーを押します。 ※1枚しかネットワークカードがない場合（普通は1枚^^;）この画面は表示されません。

  
  次に、以下のDHCPを使うかどうかのメッセージ画面は「TAB」キーで「いいえ」を選択し、[ENTER]キーを押します。 ※ネットワーク上にDHCPサーバが存在する場合は ここは「はい」を選択してIPアドレスの自動割当サービスを受けてください。
  この場合、以降の説明はIPアドレス確認メッセージまで読み飛ばしてください。

• 次にIPアドレスを入力します。ネットワーク環境にあわせて入力し、[ENTER]キーを押します。
  以下の例では「192.168.0.100」を指定しています。

• 次にサブネットマスクの入力を行って[ENTER]キーを押します。
  以下の例では「255.255.255.0」をそのまま指定しています。

• 次にブロードキャストアドレスの指定は通常そのままで[ENTER]キーを押します。

• 次にデフォルトゲートウェイアドレスの指定はルータがネットワーク上にある場合は入力し、それ以外はそのまま[ENTER]キーを押します。

• 次にネームサーバの指定はDNSサーバがネットワーク上にある場合は入力し、それ以外はそのまま[ENTER]キーを押します。

  以上でIPアドレスの設定は完了です。
  

  次に設定したIPアドレスの確認画面が以下のように表示されますので、[y]キーを入力して[ENTER]キーを入力して下さい。

  IPアドレスは ( 192.168.0.100/24 : eth0 ) でよろしいですか ? [ y/n ] >

  ※IPアドレスの後ろの「/」から後はサブネットマスクとネットワークカードのデバイス名です。
  ※ここで[n]キーを入力して[ENTER]キーを入力すると、もう一度IPアドレスの設定に戻ります。
  

  
  

• 続いてディスクの確認と接続が自動的に行われ、以下のようなメッセージが表示されます。
  
  

  2. ディスクを確認中です。 Disk /dev/hda: 19457 cylinders, 255 heads, 63 sectors/track Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0 Device Boot Start End #cyls #blocks Id System /dev/hda1 * 0+ 12 13- 104391 83 Linux /dev/hda2 13 534 522 4192965 83 Linux /dev/hda3 535 567 33 265072+ 82 Linux swap /dev/hda4 568 19456 18889 151725892+ f W95 Ext'd (LBA) /dev/hda5 568+ 19456 18889- 151725861 83 Linux 3. パーティションをマウントしています。 hda1 を読み込み専用でマウントします。 hda2 を読み込み専用でマウントします。 hda5 を読み込み専用でマウントします。

  ※ここで 「"エラー : 共有対象のディスクは見つかりませんでした!"」 と表示された場合は、ハードウェアが対応していないためディスクが認識していないか、ディスクが物理的に壊れているため、接続できない可能性があります。
  

  
  

• 続いて要救助PCに接続する際のユーザ「root」のパスワードを設定する画面が以下のように表示されます。
  
  

  4. 共有対象に接続するユーザ ( root ) のパスワードを設定してください。 New SMB password:

  「ネットワークの準備」で決めた「root」のパスワードを入力して[ENTER]キーを押してください。
  なお、入力したパスワードは「*」マークで表示されませんのでご注意ください。
  ※BootRescueのバージョンが1.13以前の場合はユーザ名は「knoppix」となります。
  

  もう一度以下のように入力を求めてきますので、同じようにパスワードを入力して[ENTER]キーを押してください。

  Retype new SMB password:

  
  

• この後、要救助PCのハードディスクの共有処理が自動的に実施されます。
  ネットワークの共有ができれば以下のメッセージが表示されます。

  共有準備が出来ました。Windowsから「\\192.168.0.100\mnt\」に ユーザID「root」で接続してください。 Boot Rescue のご利用ありがとうございます。 Linux活用レシピ http://linux-memo.sakura.ne.jp/ Windowsからの救済が終わりましたら [ ENTER ] を押してください。 シャットダウンを行います。

  ※BootRescueのバージョンが1.13以前の場合はユーザID「knoppix」で接続するよう表示されます。
  

  
  

  要救助PC
  共有完了！！

  
  以上で要救助PCのハードディスクの共有は出来ました。
  次に、共有されたディスクから救助PCを使ってウィルスを調査する手順を説明します。

◆ 共有されたディスクに接続する手順 ◆

• 救助PCより、Windowsの「スタート」メニュー「ファイル名を指定して実行」を起動してください。
  

  		救助PC
  		「ファイル名を指定して実行」で 「\\IPアドレス\mnt」を実行。 この手順の例では 「\\192.168.0.100\mnt」となる。

  
  「名前」に「\\IPアドレス\mnt」を入力して「OK」ボタンを押してください。
  
  この時、指定するIPアドレスは要救助PCで設定したIPアドレスになり、この手順の例では以下のようになります。

  
  

• 次にパスワードの入力を求められる画面が表示されますので、
  
  「ユーザ名」に「root」、
  「パスワード」に「ネットワークの準備」で決めた「root」のパスワードを入力して「OK」ボタンを押してください。
  ※BootRescueのバージョンが1.13以前の場合は「ユーザ名」に「knoppix」を入力してください。
  

  
  

• しばらくすると以下のように要救助PCの共有フォルダが表示されます。
  この例では、「hda1」「hda3」のフォルダがハードディスクを表わしており、
  「hda」がデバイス名で、後ろの数字がそのハードディスクのパーティションの番号です。
  
  つまりIDEのハードディスクの1番目、3番目のパーティションが共有フォルダとして見えていることになります。
  それぞれのフォルダの中に、各パーティションのファイルがあります。
  
  ハードディスクの種類とデバイス名については、このページの最後に記載しておりますのでご確認ください。
  

◆ 共有されたディスクをウィルス検査 ◆

• 後は以下のように要救助PCのディスクを右クリックして。「ウィルススキャン」を選択してください。
  ※このスキャン指定方法は救助PCにインストールされているアンチウィルスソフトにあわせてください。
  ※救助PCには市販のアンチウィルスソフトがインストールされている必要があります。
  
  

• ネットワーク経由でのウィルス検査が始まります。
  
  

• 以下のようにウィルスが検出されれば、ウィルスの名前をひかえます。
  

◆ 終了手順 ◆

ウィルスが特定できれば、以下の手順で要救助PCの共有を終了してください。

• 要救助PCの画面には以下のようにメッセージが表示されています。
  終了する場合はこの画面で[ENTER]キーを押してください。
  

  共有準備が出来ました。Windowsから「\\192.168.0.100\mnt\」に ユーザID「root」で接続してください。 Boot Rescue のご利用ありがとうございます。 Linux活用レシピ http://linux-memo.sakura.ne.jp/ Windowsからの救済が終わりましたら [ ENTER ] を押してください。 シャットダウンを行います。

  
  

• シャットダウン確認のメッセージが以下のように表示されますので、[y]キーを押してから[ENTER]キーを押してください。

  シャットダウンしてもよろしいですか ? [ y/n ] > y

  
  
• もう一度聞かれますので、[y]キーを押してから[ENTER]キーを押してください。

Shotdown NOW ? [ y/n ]y



• 以上で要救助PCのシャットダウン処理が始まります。最後に以下のメッセージが出たら[ENTER]キーを押して、要救助PCの電源を切ってください。

  Please remove CD, close cdrom drive and hit return.

◆ ウィルスの駆除 ◆

ここまでで、「BootRescue」の役目は終わりです。後は確認できたウィルス名でアンチウィルスソフトメーカが公開しているWebサイトのウィルスデータベースを検索し、そのウィルスにあった対応を行ってください。

だいたいの場合は、セーフモードで起動してそのウィルスが起動時に動き出す原因となる特定のファイルを削除し、ウィルスが起動しない状況にしてからWindowsを通常起動して、アンチウィルスソフトで駆除する手順になると思います。

◆ ハードディスクの種類とデバイス名 ◆

標準のハードディスクとデバイス名の関係はそれぞれ以下のようになります。

★ IDEディスク ★ IDE 1番目 hda IDE 2番目 hdb IDE 3番目 hdc IDE 4番目 hdd

★ SCSIディスク ★ SCSI 1番目 sda SCSI 2番目 sdb SCSI 3番目 sdc SCSI 4番目 sdd SCSI ?番目 sd?

★ USBディスク ★ USB 1番目 uba USB 2番目 ubb USB 3番目 ubc USB 4番目 ubd USB ?番目 ub?


それぞれのデバイス名の後ろに数字をつけることで、そのハードディスク中のパーティション番号を表します。


例）
1番目のIDEハードディスクの1番目のパーティション：hda1
3番目のSCSIハードディスクの2番目のパーティション：sdc2

また、以下は特殊なハードディスクコントローラとデバイス名になります、knoppixではそのままでは認識しませんが、BootRescueでは認識するよう改良しております。

★ HP Smartアレイコントローラ ★ コントローラ0 ディスク0 c0d0 コントローラ0 ディスク1 c0d1 コントローラ1 ディスク0 c1d0 コントローラ1 ディスク1 c1d1


それぞれのデバイス名の後ろにp+数字をつけることで、そのハードディスク中のパーティション番号を表します。


例）
1番目のコントローラの1番目のディスクの1番目のパーティション：c0d0p1
2番目のコントローラの2番目のディスクの2番目のパーティション：c1d1p2