Windows でのコードインジェクションとは何ですか?

コードインジェクションは、Windows では非常に一般的な手法です。アプリケーションは、実行中の別のプロセスに独自のコードを「挿入」して、そのプロセスの動作を変更します。この手法は良い目的にも悪い目的にも使用できますが、いずれにしても望ましくない問題を引き起こす可能性があります。ウイルス対策ソフトウェアなどのウイルス対策ソフトウェアは、 Chromeにコードを挿入して動作を変更します。これにより、ブラウザの問題がより頻繁に発生します。

他のプロセスに注入されるコードの一部は通常、DLL ファイル(ダイナミックリンクライブラリ) の形式であるため、コードインジェクションは DLL インジェクションとも呼ばれます。ただし、アプリケーションは、DLL ファイルの形式ではない他の種類のコードを別のプロセスに挿入することもあります。

Windows でのコードインジェクションとは何ですか?

コードインジェクションは何に使用されますか?

コードインジェクションは、Windows 上ですべてのトリックと機能を実行するために使用されます。コードインジェクションは、正規のソフトウェアとマルウェアの両方で使用されます。次に例を示します。

ウイルス対策プログラムは多くの場合、Web ブラウザにスクリプトを挿入し、それを使用してネットワークトラフィックを監視し、危険な Web コンテンツをブロックします。
悪意のあるプログラムは、Web ブラウザにコードを追加して閲覧履歴や情報を追跡し、ブラウザにインストールされているパスワード、クレジットカード番号、変更などの保護された情報を盗みます。
Stardock のWindowBlinds は、ウィンドウの開き方を変更するコードを挿入します。
Stardock の Fences は、Windows の動作方法を変更するコードを挿入します。
AutoHotkey は、スクリプトを作成してシステム全体のホットキーを割り当てることができるコードを挿入します。
NVIDIA などのグラフィックドライバーは DLL ファイルを送信して、グラフィック関連のさまざまなタスクを実行します。
一部のプログラムでは、DLL ファイルを挿入して、アプリケーションに追加のオプションを追加します。
PC ゲームのチートは、ゲームにコードを挿入してゲームの特性を変更することがよくあり、それによって不正行為者が他のプレイヤーに対して不公平な優位性を与えます。

コードインジェクションはダメなのか？

この手法は、Windows 上のさまざまなアプリケーションで常に使用されています。さまざまなタスクを実行できるのは本当にユニークです。 Apple の iOS や Google の Android などの最新のモバイルオペレーティングシステムプラットフォームと比較して、Windows は開発者に柔軟性を提供するため、はるかに強力です。

もちろん、いくつかの危険も伴います。コードインジェクションにより、アプリケーションに問題やエラーが発生する可能性があります。 Googleは、Chromeにコードを挿入するソフトウェアを含むWindowsユーザーは、Chromeでエラーが発生する可能性が通常より15％高いと述べており、そのためGoogleはコードインジェクションの防止に取り組んでいるとしている。

Microsoft は、サードパーティの DLL ファイルが Outlook で多くの問題を引き起こす可能性があるため、ユーザーが Microsoft Outlook にロードされているかどうかを確認できる手順も提供しています。

Microsoft 従業員は 2004 年にこの問題についてブログで次のように共有しました。

他のアプリケーションに挿入された DLL ファイルは決して安全ではありません。そのコードは、プロセスの作成者によって設計、構築、テストされていないプロセスに不正に侵入するからです。これまでに経験したことのない同期やリソースの問題が発生するリスクがあり、これらのファイルがアプリケーションの既存の問題を悪化させることになります。

つまり、コードインジェクションは違法なハッキングです。ただし、コードインジェクションは、今日の Windows アプリケーションプラットフォームで見られる一般的な手法にすぎません。 PC 上の Windows のバックグラウンドで継続的に使用されます。

アプリケーションに挿入された DLL ファイルを確認する方法。

Microsoft の Process Explorer アプリケーションを使用して、システム上のコードインジェクションを確認できます。基本的に、このアプリケーションは、必要な追加機能が強化されたタスクマネージャーの拡張バージョンです。

まず、Process Explorer をダウンロードして実行します。次に、「表示」 > 「下部ペイン表示」 > 「DLL」をクリックするか、Ctrl + D を押します。

Windows でのコードインジェクションとは何ですか?

上部のペインでプロセスを選択し、下のペインを見て、どの DLL ファイルがロードされているかを確認します。 [会社名] 列は、このリストをフィルタリングする便利な方法を提供します。

例: Microsoft Corporation によって作成された一連の DLL ファイルが表示される場合、それらは Windows の一部であるため、これはまったく正常です。アプリケーションの親会社 (たとえば、以下のスクリーンショットの「Google Inc」) に由来する DLL ファイルがそのアプリケーション内に存在することは、まったく正常です。

下の画像によると、このリストには「AVAST Software」によって作成された DLL ファイルもいくつか見つかります。これは、システム上のアバストスパイウェア対策アプリケーションが「アバストスクリプトブロックフィルタライブラリ」などのコードを Chrome に挿入していることを示しています。

Windows でのコードインジェクションとは何ですか?

システムにコードインジェクションが見つかったとしても、それ以上の問題が発生するのを防ぐために、コードをインジェクトしているプログラムをアンインストールする以外にできることはあまりありません。たとえば、Chrome が頻繁にクラッシュする場合は、Chrome にコードを挿入しているプログラムがあるかどうかを確認し、そうであれば、それらのプログラムをアンインストールして、進行状況がさらに妨げられるのを防ぐことができます。

コードインジェクションはどのように機能するのでしょうか?

コードインジェクションは、ドライブに保存されている基盤となるアプリケーションには影響しません。代わりに、アプリケーションが起動されるまで待機し、実行中のプロセスにコードを挿入して、プロセスの動作方法を変更します。

ご存知のとおり、Windows にはコードインジェクションに使用できる一連のアプリケーションプログラミングインターフェイス (API) が含まれています。プロセスは、ターゲットプロセスに自身をアタッチし、メモリを割り当て、DLL またはその他のコードをそのメモリに書き込み、ターゲットプロセスにコードを実行するように指示できます。 Windows では、コンピューター上のプロセスがこのように相互に干渉することを完全に防ぐことはできません。

場合によっては、誰かがドライブ上の基本コードを変更する可能性があります。たとえば、PC ゲームに付属の DLL ファイルを、ゲームの不正行為や著作権侵害を不正行為できるように変更された別のコードに置き換えることによって行われます。技術的には、コードは実行中のプロセスに挿入されないため、これはコードインジェクションではありませんが、代わりに同じ名前の別の DLL ファイルを使用してプロセスがだまされます。

続きを見る：