XPFの独り言

自分のパソコンや職場のPCに知らず知らずのうちにWinnyがインストールされていたりしていないか検索するためのツールが各社から無償公開されているのは以前書いたとおりである。

この中でシマンテックから出ているものは、ファイルのシグネチャを利用して検出するというウイルス検索エンジンと同様の仕組みを利用しており、ファイル名が変更されていたとしても検出可能だという。Winnyは実行ファイルをリネームしていても動作するから、Windowsの検索ツールでWinny.exeを検索しても見落とすことがあり得るが、これなら例え実行ファイルの名前をリネームして別のものに偽装していても発見できる。

そこで、本当に見つけられるのか試してみることにした。WinnyにはWinny1とWinny2があり、それぞれに細かいバージョンが数多く存在する。オフィシャルなものだけでも130バージョンくらいあるのではないだろうか？

今回は、Winny1のWinny.exeと同じファイル構造を持ち、全く同じ動作を行うプログラムファイルを48個、Winny2のWinny.exeについても同様に9個、Winny2pからも2個のファイルを準備して、実行ファイル名は各バージョンがわかるようバージョンの数字を含むファイル名にリネームを行った後にWinny検索ツールWinyAudt.exeを実行してみた。このファイルは実行したらただ「start」を押すだけでローカルドライブの中を検索してWinnyの実行ファイルを探し出してきてくれるはずなのだが、結果は59個の実行ファイルのうち検出したのはわずか5ファイル（Winny1が3、Winny2が0、Winny2pが2）

あれれ？？リネームどころかオリジナルと同じ特徴を持つファイルすら検出できないじゃん。

次にアンラボのツールv3antinnyc.exeも同様に実行してみたのだが、こちらはWinny2pの2つしか検出できなかった。

あらら？こちらもだめぽ。

これでは全然駄目じゃんかよ。古いバージョンとかそのまま古いままでなおかつリネームして使ってたら見つけられないじゃん。あれWinnyって古いバージョンのままだと現在のWinnyネットワーク内で通信できないんだったっけ？

何かどんなWinnyを使っていようと確実に発見できる方法って無いもんかねぇ。あ、でもネットワークをモニターするのは無しね。実行されて無くとも実行ファイルがディスク内にあるのを確実に見つけられればいいんだけどなぁ。