.NETを利用しているアプリケーションの特定方法

.NETのサポートライフサイクルは長期サポートが提供されるバージョンでも3年と短いため、サポートライフサイクルを終了したバージョンの.NETをアンインストールする必要が生じることがあります。しかし、まだ.NETを利用しているアプリケーションがある場合、アンインストールするとそのアプリケーションが動作しなくなる可能性があります。そのため、.NETを利用しているアプリケーションを事前に特定して新しい.NETのバージョンに移行する等の対応が必要になります。

すべてのアプリケーションの依存関係が管理できていれば問題とならないのですが、そうでない場合、.NETを利用しているアプリケーションを特定することは意外と面倒です。以下に、.NETを利用しているアプリケーションを特定する方法をいくつか紹介します。なお、1, 2は実行中のアプリケーションの有無を確認する方法、3, 4, 5, 6はアプリケーションを監視する方法になります。いずれの方法も静的に解析するものではないため、アプリケーションが実行されることがない場合は特定することができません。とはいえ、特に3, 4, 5, 6の方法でしばらくの期間監視していてもアプリケーションが実行されない場合、もし.NETを利用してるアプリケーションがあったとしても、現在は使用されていない可能性が高いと考えられますので、大きな問題にはならないでしょう。

なお、アプローチとしては、.NETを利用しているアプリケーションがcoreclr.dllを読み込んでいる点を踏まえて、当該モジュールを読み込んでいるプロセスを調べることによって特定する方法が一般的です。以下に、いくつかの方法を紹介します。

1. tasklistコマンド

Windowsに付属するtasklistコマンドを使用して、実行中のプロセスの一覧を取得し、.NETを利用しているアプリケーションを特定することができます。tasklistコマンドは実行中のプロセスの情報を表示するためのコマンドで、/mオプションを指定することで特定のモジュールを読み込んでいるプロセスに絞り込むことが可能です。.NETを利用しているアプリケーションを特定するには、管理者としてコマンドプロンプトを実行し、以下のコマンドを入力します。

tasklist /m coreclr.dll

このコマンドを実行すると、coreclr.dllを読み込んでいるプロセスの一覧が表示されます。以下は、コマンドの実行例です。

なお、この方法ではモジュールの完全なパスを確認することができないため、複数のバージョンの.NETがインストールされている場合、どのバージョンの.NETを利用しているかを特定することはできません。また、実行中のプロセスのみを対象とするため、アプリケーションが実行されていない場合は特定できません。

2. Process Explorer

Process Explorerは、Sysinternals Suiteの一部であり、Windowsのプロセスやスレッド、モジュールの詳細な情報を表示するツールです。Process Explorerを使用すると、特定のモジュール（例：coreclr.dll）を読み込んでいるプロセスを簡単に特定できます。Process Explorerを使用するには、以下の手順を実行します。

1. https://live.sysinternals.com/procexp.exe からprocexp.exeをダウンロードします。

2. procexp.exeを管理者権限で実行します。

3. Process Explorerが起動したら、メニューからFind>Find Handle or DLL...を選択します。

   

4. Handle or DLL substringの欄にcoreclr.dllと入力し、[Search]ボタンをクリックします。

5. 検索結果が表示され、coreclr.dllを読み込んでいるプロセスの一覧が表示されます。以下は、検索結果の例です。

   

ここで注意が必要な点を挙げておくと、上図のように複数のパスのcoreclr.dllが表示される場合がありますが、アプリケーションフォルダーに含まれているcoreclr.dllは、アプリケーションが独自にバンドルしているものであり、通常はコンピューター全体にインストールされている.NETランタイムのバージョンとは関係ありません。したがって、アプリケーションフォルダーに含まれるcoreclr.dllは無視して問題ありません。

3. 監査ログ

Windowsのファイルシステムの監査を有効にすることで、特定のファイルやフォルダに対するアクセスを記録することができます。これを利用して、.NETのランタイムファイル（例：coreclr.dll）へのアクセスを監視し、どのアプリケーションがこれらのファイルを使用しているかを特定することが可能です。なお、この方法はVisual C++ランタイムの監査にも利用することができ、ドキュメントでも詳細な手順が公開されています。Visual C++ランタイムの監査手順に倣い、.NETランタイムの監査手順を以下に示します。

1. 監査ポリシーの設定

1. Windows+Rキーを押してファイル名を指定して実行ダイアログを開きます。

2. gpedit.mscと入力してEnterキーを押します。

   

3. ローカルグループポリシーエディターが起動しますので、コンピューターの構成>Windowsの設定>セキュリティの設定>監査ポリシーの詳細な構成>システム監査ポリシー>オブジェクトアクセスに移動します。

4. ファイルシステムの監査をダブルクリックします。

   

5. ファイルシステムの監査のプロパティダイアログが表示されますので、次の監査イベントを構成すると成功にチェックを入れて[OK]ボタンをクリックします。

   

6. ローカルグループポリシーエディターを閉じます。

2. ファイルの監査設定

1. エクスプローラーから監査を行いたいファイルやフォルダを右クリックし、プロパティを選択します。例えば.NET 8のバージョン8.0.16を監査する場合、ランタイムファイルは以下のパスにあります。

   • C:\Program Files\dotnet\shared\Microsoft.NETCore.App\8.0.16\coreclr.dll
   • C:\Program Files (x86)\dotnet\shared\Microsoft.NETCore.App\8.0.16\coreclr.dll
   • C:\Program Files (Arm)\dotnet\shared\Microsoft.WindowsDesktop.App\8.0.16\coreclr.dll

2. coreclr.dllのプロパティダイアログが表示されますので、セキュリティタブを選択し、詳細設定ボタンをクリックします。

   

3. coreclr.dllのセキュリティの詳細設定ダイアログが表示されますので、監査タブを選択して続行ボタンをクリックします。

   

4. 追加ボタンをクリックします。

   

5. coreclr.dllの監査エントリダイアログが表示されますので、プリンシパルの選択のリンクをクリックします。

   

6. ユーザーまたはグループの選択ダイアログが表示されますので、選択するオブジェクト名を入力してくださいの欄にEveryoneと入力し、名前の確認ボタンをクリックします。確認ができたらOKボタンをクリックします。

   

7. 種類の欄で成功を選択し、高度なアクセス許可を表示するのリンクをクリックします。

   

8. フォルダーのスキャン/ファイルの実行のみにチェックが入っている状態にしてOKボタンをクリックします。

   

9. coreclr.dllのセキュリティの詳細設定ダイアログに戻りますので、OKボタンをクリックします。

10. coreclr.dllのプロパティダイアログに戻りますので、OKボタンをクリックします。

3. 監査ログの確認

1. Windows+Rキーを押してファイル名を指定して実行ダイアログを開きます。

2. eventvwr.mscと入力してEnterキーを押します。

   

3. イベントビューアーが起動しますので、Windowsログ > セキュリティを選択します。

4. ソース'Microsoft Windows security auditing'のイベントを確認します。イベントID4663が表示されている場合、coreclr.dllへのアクセスとその操作を行ったプロセス名が記録されています。以下は、イベントの例です。

   

   オブジェクトへのアクセスが試行されました。
   
   サブジェクト:
   	セキュリティ ID:		win24h2\user1
   	アカウント名:		user1
   	アカウント ドメイン:		win24h2
   	ログオン ID:		0x283EF
   
   オブジェクト:
   	オブジェクト サーバー:		Security
   	オブジェクトの種類:		File
   	オブジェクト名:		C:\Program Files\dotnet\shared\Microsoft.NETCore.App\8.0.16\coreclr.dll
   	ハンドル ID:		0x174
   	リソース属性:	S:AI
   
   プロセス情報:
   	プロセス ID:		0x1ac4
   	プロセス名:		C:\source\WinFormsApp1\WinFormsApp1\bin\Debug\net8.0-windows\WinFormsApp1.exe
   
   アクセス要求情報:
   	アクセス:		実行/スキャン
   				
   	アクセス マスク:		0x20

Visual C++ランタイムの監査に関する記事ではコマンドで自動化する方法も記載されていますので、そちらも参考にするとよいでしょう。

4. Process Monitor

Process Monitorは、Sysinternals Suiteの一部であり、リアルタイムでファイルシステム、レジストリ、プロセス、スレッドのアクティビティを監視するツールです。Process Monitorを使用すると、特定のモジュール（例：coreclr.dll）の読み込みを監視し、どのアプリケーションがこれらのファイルを使用しているかを特定することが可能です。以下に手順を示します。

1. https://live.sysinternals.com/procmon.exe からprocmon.exeをダウンロードします。

2. procmon.exeを管理者権限で実行します。

3. Process Monitorが起動したら、メニューからFilter>Filter...を選択します。

   

4. Process Monitorフィルターダイアログが表示されますので、Pathとends withを選択し、coreclr.dllと入力して[Add]ボタンをクリックします。

   

5. Operationを選択し、isにLoad Imageと入力してAddボタンをクリックします。

   

6. OKボタンをクリックしてフィルターを適用します。

   

7. Filter>Drop Filtered Eventsメニューを選択してフィルターで除外されたイベントを破棄するようにしておきます。なお、この操作を忘れるとフィルターで除外されたイベントも保持されるため、監視期間によってはシステムリソースを枯渇させる可能性があり危険です。

   

8. File>Backing Files...メニューを選択します。

   

9. Process Monitor Backing Filesダイアログが表示されますので、Use file namedにチェックを入れ、記録されたイベントの保存先を指定します。既定では仮想メモリに記録されるため長期間のログ取得でメモリリソースを多く消費する可能性がありますが、これにより監視結果がファイルに保存されるようになります。

   

10. 一旦Edit>Clear Displayメニューを選択して、監視結果をクリアします。これにより、監視開始時点からのイベントのみが記録されます。

    

11. Process Monitorがリアルタイムでcoreclr.dllの読み込みを監視し始めます。以下は、監視結果の例です。

    

12. 監視を終了するには、File>Save...メニューを選択して、監視結果をファイルに保存します。PML形式で保存しておけば、後に他のコンピューターでProcess Monitorからファイルを読み込むことができるので便利です。

    

5. Sysmon

SysmonはSysinternals Suiteの一部であり、Windowsのシステムイベントを詳細に監視するツールです。Sysmonを使用すると、特定のモジュールの読み込みを監視し、どのアプリケーションがこれらのファイルを使用しているかを特定することが可能です。Sysmonを使用してcoreclr.dllの読み込みを監視するには、以下の手順を実行します。なお、ドキュメントに詳細な手順は公開されていないため、sysmon.exe -? configコマンドでヘルプを確認するか、開発者による解説書かその日本語版を参考にするとよいと思います。

1. Sysmonを公式ページからダウンロードして任意のフォルダーに展開します。

2. 後述のsysmonconfig.xmlをSysmonのフォルダーに配置します。Sysmonの設定ファイルは、Sysmonが監視するイベントの種類や詳細を定義するためのXMLファイルです。

3. 管理者権限でコマンドプロンプトを起動し、Sysmonのフォルダーに移動します。例えば、SysmonをC:\Sysmonに展開した場合、cd C:\Sysmon コマンドを実行します。

4. sysmon.exe -i sysmonconfig.xmlコマンドを実行し、構成ファイルを使用してSysmonをインストールします。

1. Sysmonがインストールされると、sysmonconfig.xmlで指定されたイベントの監視が開始されます。Sysmonは、WindowsイベントログのMicrosoft-Windows-Sysmon/Operationalでログを記録します。イベントビューアーから確認する場合は、Windowsログ>アプリケーションとサービスログ>Microsoft>Windows>Sysmon>Operationalを表示します。イベントID:7がDLL読み込みのイベントになります。

   

2. 不要になったらsysmon.exe -uコマンドを実行してSysmonをアンインストールします。

   

sysmonconfig.xmlの例

以下は、Sysmonの設定ファイルの例です。onmatch="include"を指定して何も指定しない場合、そのイベントの種類のログ記録は無効化されます。つまり、以下ではcoreclr.dllで終わるイメージの読み込み以外のみを有効化し、他はすべて無効化しています。

<Sysmon schemaversion="4.90">
  <EventFiltering>
    <ProcessCreate onmatch="include" />
    <ProcessTerminate onmatch="include" />
    <DriverLoad onmatch="include" />
    <ImageLoad onmatch="include">
      <ImageLoaded name=".NET Runtime" condition="end with">coreclr.dll</ImageLoaded>
    </ImageLoad>
    <FileCreateTime onmatch="include" />
    <NetworkConnect onmatch="include" />
    <CreateRemoteThread onmatch="include" />
    <RawAccessRead onmatch="include" />
  </EventFiltering>
</Sysmon>

記録されるイベントログの例

Image loaded:
RuleName: .NET Runtime
UtcTime: 2025-07-06 15:22:41.224
ProcessGuid: {669b6810-94c1-686a-da02-000000001600}
ProcessId: 1624
Image: C:\source\WinFormsApp1\WinFormsApp1\bin\Debug\net8.0-windows\WinFormsApp1.exe
ImageLoaded: C:\Program Files\dotnet\shared\Microsoft.NETCore.App\8.0.16\coreclr.dll
FileVersion: 8,0,1625,21506 @Commit: efd5742bb5dd1677fbbbeb277bcfb5c9025548e5
Description: .NET Runtime
Product: Microsoft® .NET
Company: Microsoft Corporation
OriginalFileName: CoreCLR.dll
Hashes: SHA256=C95B64848C998000F1C5CF01E2E6154222930AC90190679A47AC49C6EF0AFD3C
Signed: true
Signature: .NET
SignatureStatus: Valid
User: win24h2\user1

6. .NETホストログ

.NETアプリケーションは環境変数の設定によってホストログを生成することができます。これにより、アプリケーションの起動時に使用されている.NETランタイムのバージョンやその他の詳細情報を確認することができます。大量のログが出力されるため、他の.NETバージョンがインストールされアプリが稼働している状態で古いバージョンを利用しているアプリを特定するようなケースでは不向きですが、.NETを使用しているアプリが存在している可能性は低いが念のため確認するようなケースでは利用できるかもしれません。参考情報として載せておきます。

ホストログの有効化は.NETのドキュメントに記載されています。

なお、ログのサイズはかなり大きくなりますので、必要な場合のみ有効化することをお勧めします。また、多数アプリケーションが同時に実行されている環境では、ログの出力が競合する可能性があるため注意が必要です。

記録されるログの例を以下に記載します。

Tracing enabled @ Sun Jul  6 14:42:59 2025 GMT
--- Invoked apphost [version: 8.0.16 @Commit: efd5742bb5dd1677fbbbeb277bcfb5c9025548e5] main = {
C:\source\WinFormsApp1\WinFormsApp1\bin\Debug\net8.0-windows\WinFormsApp1.exe
}
Redirecting errors to custom writer.
The managed DLL bound to this executable is: 'WinFormsApp1.dll'
Looking for architecture-specific registry value in 'HKLM\SOFTWARE\dotnet\Setup\InstalledVersions\x64\InstallLocation'.
Found registered install location 'C:\Program Files\dotnet\'.
Using global installation location [C:\Program Files\dotnet\] as runtime location.
Reading fx resolver directory=[C:\Program Files\dotnet\host\fxr]
Considering fxr version=[9.0.5]...
Detected latest fxr version=[C:\Program Files\dotnet\host\fxr\9.0.5]...
Resolved fxr [C:\Program Files\dotnet\host\fxr\9.0.5\hostfxr.dll]...
Loaded library from C:\Program Files\dotnet\host\fxr\9.0.5\hostfxr.dll
Invoking fx resolver [C:\Program Files\dotnet\host\fxr\9.0.5\hostfxr.dll] hostfxr_main_startupinfo
Host path: [C:\source\WinFormsApp1\WinFormsApp1\bin\Debug\net8.0-windows\WinFormsApp1.exe]
Dotnet path: [C:\Program Files\dotnet\]
App path: [C:\source\WinFormsApp1\WinFormsApp1\bin\Debug\net8.0-windows\WinFormsApp1.dll]