VirtualPCのアダプタアドレス(MACアドレス)を変更する
不審なソフトウェアやスパイウェアなどを踏んで挙動を観察するに際して、VirtualPCは極めて有用なツールだ(VMWare派も居るだろうが)。
実機でなければ正常?に稼動しないマルウェアも散見される今時では注意は払わねばならないが、リカバリーやサードパーティ製品による修復作業を何度も繰り返すのは多少手間がかかるのだ。
さて、パソコン個別の情報と言えば思いつくのは何だろうか。。。。。まず真っ先にあげられるのはアダプタアドレスである。
アダプタアドレスはLANカードなどに割り当てられるユニークな・重複しない数字であり、16進法で表記される。あるアダプタアドレスを持つLANカードなりボードが接続されているパソコンは、世界にたった1台なのだ。
(アダプタアドレスをWindowsOSより変更するテクニックはあるものの、ここでは記載しない)
唯一の数字でユニークであるため、幾つかのスパイウェアと称されるマルウェアは、アダプタアドレスを・もしくはこれより求めたidを利用しようとする場合がある。
利用者個人を特定できないものの、「同じパソコン」であるか否かは判別し得るので、スパイウェア配布者としては有用な情報であるのだろう。
(Windows OSのプロダクトIDや、という手もありそうなんですが)
変更方法
前置きが長くなり申し訳ありません。
拡張子がvmcのバーチャルマシン設定ファイルを、メモ帳で開いてみる。
アダプタアドレスが登録されているのは、この部分。
<ethernet_card_address type="bytes">12桁の数字と文字列</ethernet_card_address>
12桁のキャラクターを他のものに入れ替えれば、MACアドレスは変わるだろう。
それが何かに役立つのか?
MACアドレスでフィルタリングされているようなLANで活用できるやもしれませんが、それは置いておいて。
スパイウェア導入時に送信される通信をキャプチャし、idのようなものを確認。VirtualPCのゲストドライブを初期化し再度スパイウェアをインストールし、また同じidが送信されているとする。
idがアダプタアドレスより生成されたものであるならば、初期化(変更を保存しない)したゲストOSのアダプタアドレスを変更してから踏めば、idは変わるだろう。
変更後のアダプタアドレスで幾度も再試し新たなIDが毎回送られると確認できたらば、確定。
送信されるIDが個別のPCに固有のものであるならば、許諾も得ずに外部へ勝手に送信するソフトウェアは、スパイウェアであるとみなしても構わないだろう。
(もちろんARPの話ではない)
