インターネットセキュリティー・ミニツール編
「UnLocker」
001 002 003 004 005 006 007 008 009 010

001 「UnLocker」とは ▼end

ファイルを削除しようとして下記のダイアログが開かれ、削除できないことがあります。

これは、他のプログラムによってファイルがロックされているために起こる現象です。

ダイアログには「ほかの人」と書かれていますが、正しくは「ほかの人が使っているプログラム」によって使用されている状態と考えていいと思います。

また、モニター上では関連ファイルをすべて閉じているのに、このエラーが出ることもあります。

これは、おそらく、プログラム等の終了後も、エキスプローラ等からのロックが解除されていないために起こるのではないでしょうか。

「UnLocker」は、このように、他のプログラムによってロックされている状態を解除するプログラムです。

●スパイウエアの駆除

最近のスパイウエアは手口が非常に巧妙になっていて、有害なファイルを見つけて削除しようとしても削除できないことがあります。

これは、そのファイルがエキスプローラ等、他のプログラムによってロックされているからです。

セーフモードでファイルを削除するとか、タスクマネージャを使って、そのプロセスを停止して、ファイルを削除できる場合もありますが、そのファイルが「Explorer.exe」や「Winlogon.exe」によってロックされていれば、セーフモードでも削除できませんし、「DLL」ファイルが使われていると、タスクマネージャでは表示できませんので、これも、削除できません。

このような時、「UnLocker」を使ってロックを解除して削除してみてください。

●ダウンロード

http://ccollomb.free.fr/unlocker/

上記サイトへアクセスして「Unlocker 1.8.1 - From this website」をクリックしてください。

●インストール

「UnLocker」はシェルの拡張機能としてインストールされ、エキスプローラの右クリックメニューに表示されます。このため、インストールの途中で、そのとき開かれているエキスプローラの画面がすべて閉じられますが、異常ではありません。

ダウンロードされるファイル「unlocker1.8.1.exe」はインストーラーです。

ダブルクリックすると下記画面になります。

自動的にOSの日本語環境を検出して日本語が選択されています。

以下、日本語のセットアップウィザードが表示されますので画面の指示に従います。

(画像のバージョンが古いものになっているものがありますがご辛抱ください。)

「アップデートをチェックする」

起動時に自動的にダウンロードサイトに接続して最新バージョンをチェックする機能です。

この機能を停止させたいときは「Unlocker」を再インストールして、この項目のチェックをはずしてください。

「右クリックメニューを追加する」

便利な機能です。ぜひ選択してください。

「Assistant」

エキスプローラ等で、削除エラーが発生した直後に自動的に「Unlocker」が起動させる機能です。

システムトレーに「UnlockerAssistant」のアイコンが表示され、右クリックして下記オプションを選択できます。

「Autostart」

チェックを入れると下記レジストリに「UnlockerAssistant.exe」が登録され、パソコン起動時に「UnlockerAssistant.exe」が実行され、プロセスに常駐します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

「Close」

これを選択すると「UnlockerAssistant」のアイコンが消えてしまい「UnlockerAssistant.exe」の機能が働かなくなります。

再表示させたいときは「Unlocker」をインストールしたフォルダにある「UnlockerAssistant.exe」をダブルクリックしてください。

「送る」に登録する

エキスプローラの動作が遅くなるのでお勧めしません。

「完了」

ボタンを押してインストール終了です。


002 テスト(1) ロックの解除 ▼end

「UnLocker」をインストールした後、おそらく「削除エラー」が発生するであろう状態を作って見ます。

注意:「UnLocker」で選択したコマンドによっては、プロセスが強制終了される場合があります。事前に、すべての作業中のアプリケーション等を終了させて置いてください。

1.「Test」フォルダ

デスクトップに「Test」というフォルダを作ります。

2.「新規作成」「テキストドキュメント」

「Test」フォルダを開き右クリックして「新規作成」「テキストドキュメント」を選択します。

3.メモ帳で開く

作成された「新規テキスト ドキュメント.txt」をメモ帳で開きます。

4.削除エラー画面

そのままの状態で「Test」フォルダを削除しようとすると、やはりエラーになりました。

5.削除中断

「OK」を押して、一旦、削除をあきらめます。

6.「UnlocckerAssistant」が自動起動

「UnlocckerAssistant」が起動されている場合、削除エラー画面が消えた後、、自動的に「UnLocker」の画面が表示されます。「UnlocckerAssistant」についてはこちらを参照ください。

「Explore.exe」と「Notepad.exe」によって「デスクトップ」の「test」フォルダがロックされていると表示されます。

7.「全ロック解除」

「全ロック解除」をクリックして「終了」を押して「UnLocker」の画面を閉じます。

この操作ではロックを解除するだけでファイルは削除しません。

8.「UnLocker」で再チェック

続いて、デスクトップの「Test」フォルダを右クリックしてメニューの「UnLocker」を選択すると下記の画面が表示されロックが解除されているのがわかります。

「終了」を押してデスクトップやエキスプローラ画面で「Test」フォルダを削除することもできますし、ドロップダウンメニューで「削除」「新しい名前」「移動する」を選択し「全ロック解除」をクリックして選択した動作を実行することもできます。

9.ドロップダウンメニュー

 または、

10.削除、リネーム、移動

前記(7)では、「UnLocker」の機能を確認するためドロップダウンメニューで、「何もしない」を選択しましたが、削除リネーム移動については別項を参照ください


003 テスト(2) プロセスの停止 ▼end

注意:「UnLocker」で選択したコマンドによっては、プロセスが強制終了される場合があります。事前に、すべての作業中のアプリケーション等を終了させて置いてください。
特に「プロセスの停止」を選択した場合、何が起こりうるかをよく考えた上で実行してください。
初心者の方はこのボタンを使わない方がいいと思います。

●「Notepad.exe」の停止

例えば上の画面で、「Notepad.exe」を選択して「プロセス停止」を選択すると「Notepad.exe」は強制的に終了されます。

編集中のテキストファイルで、未保存であっても、保存ダイアログは表示されませんし、確認画面も表示されませんので注意してください。

「Notepad.exe」のプロセスを中止すると、残ったプロセスの処理を選択するために次の画面が現れます。

●「Explorer.EXE」の停止

ここで「Explorer.EXE」を選択して「プロセスの停止」をクリックするのはかなり危険です。

エキスプローラの画面はすべて閉じられますし、エキスプローラから起動されているプロセスがすべて停止されますので、タスクバーも消滅してしまいます。

パソコンを再起動すれば復旧できますので大きな被害は無いと思いますが、余りお勧めできません。

●「Winlogon.EXE」の停止

もし、「Winlogon.EXE」が表示されていて「Winlogon.EXE」を選択して「プロセスの停止」をクリックするとパソコンは、即、シャットダウンされます。


004 テスト(3) 削除する ▼end

●準備

ファイルをロック状態にするため、一旦、NotePadを終了し、「Test」フォルダを閉じてから、もう一度「Test」フォルダを開き「新規テキスト ドキュメント.txt」をメモ帳で開きます。

デスクトップで「Test」フォルダを右クリックして「Unlocker」を選択し「Unlocker」の画面を呼び出します。

●ファイルの移動

1.ドロップダウンリストで「削除する」を選択。

 

2.「全解除ロック」をクリック。
4.「Test」フォルダが削除され、右の画面が表示されますので「OK」を押します。

この処理では「ゴミ箱」にも残りませんので注意してください。

モニター上にメモ帳の編集画面が残りますが、メモ帳のメニューの「ファイル」「上書き保存」を選択すると下記エラーになりますので「名前をつけて保存」または、「メモ帳の終了」を選択してください。


005 テスト(4) 名前の変更 ▼end

●準備

デスクトップに「Test」フォルダを作成し、「Test」フォルダを開き、右クリックして「新規作成」「テキストドキュメント」を選択し、作成された「新規テキスト ドキュメント.txt」をメモ帳で開いておきます。

デスクトップで「Test」フォルダを右クリックして「Unlocker」を選択し「Unlocker」の画面を呼び出します。

●名前の変更

1.ドロップダウンリストで「名前の変更」を選択。

 

 

2.新しい名前を入力する画面になりますので、「test2」と入力して「OK」をクリックしてみます。

3.「Unlocker」の画面で「全ロック解除」をクリック。

 

4.下記のエラーが表示されます。

このときデスクトップにはフォルダが実在しますし、名前の変更も可能なので、このエラー表示はおかしいのですが、実は、この時点で、すでにレジストリキーに下記の値が設定され再起動時にリネームが実行されるようになっています。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

値の名前:PendingFileRenameOperations

値のデータ:

\??\C:\Documents and Settings\m\デスクトップ\test\新規テキスト ドキュメント.txt
\??\C:\Documents and Settings\m\デスクトップtest2\新規テキスト ドキュメント.txt
\??\C:\Documents and Settings\m\デスクトップ\test
\??\C:\Documents and Settings\m\デスクトップtest2

ということで、「OK」を押しておきます。

 

5.続いて下の画面が表示されますので「はい」をクリックします。

●事件発生

パソコンを再起動するとファイル名が変更されているかというと、ちょっとした問題が発生します。

フォルダ名が「test2」でなく「デスクトップtest2」になっています。

これは、おそらく、日本語バージョンでは一部のフォルダ名が日本語化されていることに原因があるのではないかと思います。

ということで、このフォルダにある「デスクトップtest2」フォルダを「test2」」に修正して作業終了です。

また、再起動時、下記表示が出たときは「OK」を押して次へ進んでください。


006 テスト(5) ファイルの移動 ▼end

●準備

デスクトップに「Test」フォルダを作成し、「Test」フォルダを開き、右クリックして「新規作成」「テキストドキュメント」を選択し、作成された「新規テキスト ドキュメント.txt」をメモ帳で開いておきます。

デスクトップで「Test」フォルダを右クリックして「Unlocker」を選択し「Unlocker」の画面を呼び出します。

●ファイルの移動

1.ドロップダウンリストで「ファイルの移動」を選択。

 

2.「全ロック解除」をクリック。
3.フォルダの参照画面が開かれますので、「ローカルディスク(C)」を選択して「OK」を押します。
4.「Test」フォルダが移動され、右の画面が表示されますので「OK」を押します。
5.「C」を開くと、test.s.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9というファイルが作成されていて、フォルダ内には「新規テキスト ドキュメント.txt」が保存されています。
6.フォルダ名を元通り「test」にもどして移動終了です。

 007 スパイウエアへの対応 ▼end

.最近現れる悪質なスパイウエアに「Vundo」というのがあります。

スパイウエアの実行ファイルが 「explorer.exe」「winlogon.exe」「smss.exe」等によってロックされているためファイルの削除ができず、ユーザーを困らせているものです。

特に、「winlogon.exe」によってロックされている場合、「winlogon.exe」を終了させてしまうとパソコンがシャットダウンされてしまうため、ファイルの削除どころではありません。

欧米のフォーラムではこの難問をバッチファイルを使って解決しています。

「winlogon.exe」を終了させても、バッチファイルの実行中は、パソコンがシャットダウンされないという特性を生かして、ファイルを削除するという方法です。

よく使われるのが「process.exe」というコマンドラインから実行できるプログラムです。

process -k smss.exe
process -k explorer.exe
process -k rundll32.exe
process -k winlogon.exe

「process」コマンドに「-k」(Kill)オプションをつけて実行し、Windowsで実行中の主要なプロセスを終了させることでロックを解除し、引き続いて、ファイルの削除やレジストリの修復を実行するという手法です。

「Unlocker」を使って、有害なファイルへのロックを解除しておいて、ファイルを削除できれば、もっとスマートにスパイウエア退治ができるのではないかと思いますが、実際に「Unlocker」を使って、問題を解決したという例を見たことがありません。

どこかに「Unlocker」の限界があるのか、それとも、「ウォッチャー・プロセス」という技法に対処するため、バッチファイルを使って、一気に有害なファイルを削除しなければ、削除しても復活してしまうのか、私自身、実際に、この種のスパイウエアに遭遇していないので、その理由がわかっておりません。

参考:「ウォッチャー・プロセス」<最新型スパイウェアの技術的特徴

http://www.atmarkit.co.jp/fsecurity/special/86antispy/antispy02.html


参考:機能比較表

▼end

ホームページにある同種のソフトとの機能比較表から一部を抜粋しました。

Application Close
handle
Kill
process
Unload
DLL
Delete
index.dat
Delete
Rename
Move
Invalid
Names
Without
reboot
With
reboot
Context
Menu
Command
Line / GUI
Free
Unlocker 1.8.1
by Cedrick Collomb
ok ok ok ok ok ok ok ok ok ok ok ok
Process Explorer
by Sysinternals
ok ok no no no no ok no no no ok ok
WhoLockMe
by Dr-Hoiby
no ok no no no no ok no ok no ok ok

♢Close handle

ハンドルを閉じることができるかどうかの比較です。

親プログラムから子プログラムを呼び出すときにハンドルというのが使われます。ハンドルを閉じなければ子プログラムを削除できません。

♢Kill process

実行中のプロセスを停止できるかどうかです。プログラムを停止させるだけで削除はしません。

♢Unload DLL

「DLL」ファイルの実行を終了させることができるかどうかです。

♢Delete index.dat

「index.dat」はシステムが自動的に作るファイルです。クッキーフォルダにあるものは、沢山のプログラムからロックされていて、削除できないので有名です。

♢Delete Rename Move

ファイルの「Delete」「Rename」「Move」に対応しているかどうかの比較です。

♢Invalid Names

Windowsでは通常使えないファイル名や、フォルダ名への対応でしょうか。

実例が無いので確認できていません。

♢Without reboot

パソコンを再起動して削除する機能があるかどうか

♢With reboot

パソコンを再起動せずに削除する機能があるかどうか

♢Context Menu

エキスプローラの右クリックメニューに表示できるかどうか。

♢Command Line / GUI

コマンドプロンプトから起動できるかどうか。

コマンドプロンプトで「Unlocker.exe /?」と入力してコマンドラインでの使い方を表示できます。

●実行例

D:\Program Files\Unlocker>

unlocker "C:\Documents and Settings\m\デスクトップ\test" -O

●実行結果

=============================================================================
Looking for handles on following 1 object(s):

Object 1: C:\DOCUMENTS AND SETTINGS\M\デスクトップ\TEST

=============================================================================

Handle 1 found:
Path locked: C:\Documents and Settings\m\デスクトップ\test
PID: 1408 / Handle: 4288 / Process Name: Explorer.EXE
Process Path: C:\WINDOWS\Explorer.EXE

Handle 2 found:
Path locked: C:\Documents and Settings\m\デスクトップ\test
PID: 5600 / Handle: 12 / Process Name: NOTEPAD.EXE
Process Path: C:\WINDOWS\system32\NOTEPAD.EXE

===========================================================================

「Unlocker」をインストールしたフォルダに「Unlocker-Log.txt」という名前でテキストファイルが作成され、同時に「Unlocker」の画面が表示されます。

♢Free

有料か、無料かの比較。

 

≪Prev ▲Top Next≫

end

Ads by TOK2