clamav-update
clamav-update のフォーラム
 
 FAQFAQ   検索検索   メンバーリストメンバーリスト   ユーザーグループユーザーグループ   登録する登録する 
 プロフィールプロフィール   プライベートメッセージをチェックするプライベートメッセージをチェックする   ログインログイン 

ClamdOmitScan 1.2 β

 
新しいトピックを投稿   このトピックは閉鎖されているので記事編集または返信投稿はできません    clamav-update Forum Index -> Announce
前のトピックを表示 :: 次のトピックを表示  
投稿者 メッセージ
okamura
Site Admin


登録日: 2006.11.13
記事: 291
所在地: 埼玉県

記事日時: 2007-11-27 00:00:40+00:00    記事の件名: ClamdOmitScan 1.2 β 引用付きで返信

ディスクイメージファイルの内容をスキャンできる ClamdOmitScan 1.2 のβ版ができました。

ClamAV には iso ファイルや dmg ファイルなどディスクイメージのファイルの中にあるファイルをスキャンする機能はありません。このため ClamAV 付属のコマンドはもちろん ClamAV を利用するスキャナー(例えば ClamXav など)にもディスクイメージファイルの内容をスキャンする機能はありません。ClamdOmitScan の次のバージョン 1.2 は本来 ClamAV でサポートされていないディスクイメージファイルの内容をスキャンできるようにするものです。
ダウンロード: ClamdOmitScan 1.2 β (MD5: 814ae250be57037176c89c38641e723f)

ClamdOmitScan のオプションに --scan-dmg を付けると ClamdOmitScan はそのプラットフォーム用にサポートしているディスクイメージファイルの拡張子のファイルをスキャンするとき一時的にマウントし、マウント先のファイル達をスキャンします。

このとき感染ファイルを見つけると --move オプションや --copy オプションが指定されているならば、ディスクイメージファイルそのものを隔離ディレクトリに移動またはコピーします。

サポート対象は次のとおりです。
  • OS: Darwin(Mac OS X), Linux, FreeBSD
  • ディスクイメージファイルの拡張子
    • Darwin: .iso, .dmg, .img, .cdr, .vhd
    • 他の OS: .iso
ただし Linux の場合はカーネルのバージョンが 2.4 もしくはそれ以上でなければなりません。FreeBSD の場合は /sbin/mdconfig がインストールされている必要があります。

マウントするときにライセンス表示があってそれに同意しなければならないディスクイメージファイル、暗号化してあってパスワードを入力しないとマウントできないディスクイメージファイルでは、TTY がある状態(ターミナルやコンソールから実行している状態)ではその同意や入力を求められます。TTY がない状態(例えば cron や periodic から実行している状態)ではそのディスクイメージファイルはスキップされます。

次はこのβ版で ClamAV のテスト用疑似感染ファイルを含んだ dmg ファイルをスキャンして隔離した様子です。
Code:
$ ./ClamdOmitScan.pl --config=/usr/local/clamXav/etc/clamd.conf --scan-dmg --move=/var/ClamdOmitScan/isolated /private/tmp/test2.dmg
/private/tmp/test2.dmg/.DS_Store: OK
/private/tmp/test2.dmg/clam.cab: ClamAV-Test-File FOUND
/private/tmp/test2.dmg: moved to '/var/ClamdOmitScan/isolated/test2.dmg'

----------- SCAN SUMMARY -----------
Start at: Mon Nov 26 23:32:16 2007
Server: /var/ClamdOmitScan/clamd.socket
Engine version: ClamAV 0.91.2/4926/Mon Nov 26 22:21:22 2007
Inspection period: 2419200 sec (4.0 w)
Scanning data: /Users/myname/.ClamdOmitScan
Scanned directories: 1
Scanned files: 2
Checked files: 0
Infected files: 1
Data scanned: 6.61 KB
Data checked: 0.00 B
Time: 0.831 sec (0 m 0 s)
一方で --scan-dmg オプションを付けなかったときの様子はこうです。
Code:
$ ./ClamdOmitScan.pl --config=/usr/local/clamXav/etc/clamd.conf --move=/var/ClamdOmitScan/isolated /tmp/test2.dmg
/private/tmp/test2.dmg: OK

----------- SCAN SUMMARY -----------
Start at: Mon Nov 26 23:44:16 2007
Server: /var/ClamdOmitScan/clamd.socket
Engine version: ClamAV 0.91.2/4926/Mon Nov 26 22:21:22 2007
Inspection period: 2419200 sec (4.0 w)
Scanning data: /Users/myname/.ClamdOmitScan
Scanned directories: 0
Scanned files: 1
Checked files: 0
Infected files: 0
Data scanned: 49.52 KB
Data checked: 0.00 B
Time: 0.013 sec (0 m 0 s)
test2.dmg に感染ファイルがあるにも関わらずスキャンしても OK となってしまいます。

つまり OSX.RSPlug.A のようにディスクイメージファイル内にマルウェアがあってもそれを検知し隔離できるようになります。

ただし、このβ版にはディスクイメージファイル内のファイルは変更されていなくても何度でもスキャンしてしまう問題があります。ClamdOmitScan の売りがディスクイメージファイル内のファイルには適用されないのですが、これからその原因を調査して回避できるならば回避するようにしていくつもりです。

また、Mac OS X の img ファイルは実際に流通しているものを持っていないのでテストできていません。Virtual PC の仮想ディスクファイルもサポートしていますが、ファイル自体が何ギガもある上にマウントにかなりの時間(例えば 5 分とか 10 分とか)かかるので、気軽に試せないのでテストしていません。更に FreeBSD もまだテストしていません。普通の試用に加えてこのあたりを試して結果をレポートしてもらえると助かると思い、ちょっと早い気がしましたがβ版として公開しておくことにしました。(α版とした方がよかったかな?)

β版のバージョンアップはこのスレッドでアナウンスしていきます。
_________________
OKAMURA
トップに戻る
ユーザーのプロフィールを表示 プライベートメッセージを送信 投稿者のウェブサイトに移動 AIM
okamura
Site Admin


登録日: 2006.11.13
記事: 291
所在地: 埼玉県

記事日時: 2007-12-01 05:27:53+00:00    記事の件名: ClamdOmitScan 1.2 β2 引用付きで返信

ディスクイメージファイルの中身のスキャンをサポートした ClamdOmitScan 1.2 の β2 を公開します。

ダウンロード: ClamdOmitScan 1.2 β2 (MD5: aa37fe1a7b12a224543d99b4bc968731)

β1 からの変更は次のとおりです。
  • Mac OS X 10.5 (Leopard) で --scan-dmg オプションを付けたときに次のようなメッセージが表示されてスキャンができないバグに対応。
    Code:
    WARNING: Nested quantifiers in regex; marked by <-- HERE in m//private/var/folders/p#/p#+xxxxxxxxxxxxxxxxxx++ <-- HERE +TM/-Tmp-/ClamdOmitScan-xxxxxxxxxx/ at {ClamdOmitScan.pl のパス名} line 1366.: {スキャン対象のディスクイメージファイル}
  • Bugs #11406 に対応。
Leopard で試してくださった隅本さんに感謝します。
_________________
OKAMURA
トップに戻る
ユーザーのプロフィールを表示 プライベートメッセージを送信 投稿者のウェブサイトに移動 AIM
okamura
Site Admin


登録日: 2006.11.13
記事: 291
所在地: 埼玉県

記事日時: 2007-12-09 00:35:50+00:00    記事の件名: ClamdOmitScan 1.2 β3 引用付きで返信

ディスクイメージファイルの中身のスキャンをサポートした ClamdOmitScan 1.2 の β3 を公開します。

ダウンロード: ClamdOmitScan 1.2 β3 (MD5: b973648a8372e33b3732618a39240f94)

β2 からの変更は次のとおりです。
  • --scan-dmg オプションと --scan-dmg オプションを同時に使用したとき、ISO ファイルのスキャンで、lstat() failed. というエラーになる問題に対応。
  • --scan-dmg オプションを付けて ISO ファイルをスキャンするとき、ISO ファイルが古いとスキャンしない問題に対応。
  • --scan-dmg オプションを付けてディスクイメージファイルをスキャンするとき、undefined な値を参照したという警告が出ることがある問題に対応。
  • マウント/アンマウント失敗時にエラーメッセージを出すようにした。
  • FreeBSD で mount 失敗時に mdconfig でデバイスを切り離すようにした。
  • Darwin でディスクイメージファイル内部のディスクイメージファイルのアンマウントに失敗することがあるので、アンマウント時に -force オプションを付けた。
  • --scan-rsrc オプションを付けたとき、darwin では Sys::Filesystem を使わないようにした。
    これは二回目以降のファイルシステムの情報取得が全くできないことがあるから。
  • HFS 上にあるのパスかどうかの判定をより厳密にした。
  • darwin でマウントするとき hdiutil コマンドの -private オプションは使用しないことにした。これは disktool コマンドがマウントされていることを認識できないから。
  • --scan-dmg オプションを付けているときにディスクイメージファイル内のディスクイメージファイルのスキャンデータが正しく記録されない現象を解消。
このバージョンは Fedora Core 8 でも動作確認をしました。このバージョンから定期スキャンに実戦配備できそうな気がします。
_________________
OKAMURA
トップに戻る
ユーザーのプロフィールを表示 プライベートメッセージを送信 投稿者のウェブサイトに移動 AIM
okamura
Site Admin


登録日: 2006.11.13
記事: 291
所在地: 埼玉県

記事日時: 2007-12-13 11:50:33+00:00    記事の件名: ClamdOmitScan 1.2 β4 引用付きで返信

ClamdOmitScan 1.2 β4
ディスクイメージファイルの中身のスキャンをサポートした ClamdOmitScan 1.2 の β4 を公開します。このバージョンはリリース候補です。

ダウンロード: ClamdOmitScan 1.2 β4 (MD5: e7776ec138dcab7bae039d3fa82b5524)

β3 からの変更は次のとおりです。
  • --scan-dmg オプションを付けていて、ディスクイメージファイルの中のディスクイメージファイルのマウントに失敗したときのエラーメッセージで、どのファイルのマウントに失敗したかがわかるようにした。
  • --scan-dmg オプションを付けているとき、ディスクイメージファイルの表示用のパスで --exclude, --exclude-dir, --include, --include-dir オプションの正規表現がマッチするようにした。
    これは例えば Fedora Core 8 の DVD イメージファイルの中の images/boot.iso の更に中の isolinux/initrd.img について
    Code:
    --exclude='/Fedora-8-i386-DVD\.iso/images/boot\.iso/isolinux/initrd\.img$'
    というオプションを付けることで検査対象から外すことができるというものです。
  • Darwin で --scan-dmg オプションを付けているとき、ライセンスや暗号化が付いていて非 TTY 環境なのでマウントできないとき、扱えるディスクイメージファイルでないのでマウントできないときのメッセージを ERROR レベルから WARNING レベルに引き下げた。

このバージョンは次の OS で動作確認をしました。
  • Mac OS X 10.4.11
  • Fedora Core 8
  • FreeBSD 6.2

なお Mac OS X (Darwin) 以外はディスクイメージファイルのマウントには通常 root 権限が必要です。ですから --scan-dmg オプションを使用するには ClamdOmitScan.pl を root 権限で動作させる必要があります。
_________________
OKAMURA
トップに戻る
ユーザーのプロフィールを表示 プライベートメッセージを送信 投稿者のウェブサイトに移動 AIM
特定期間内の記事を表示:   
新しいトピックを投稿   このトピックは閉鎖されているので記事編集または返信投稿はできません    clamav-update Forum Index -> Announce All times are GMT + 9 Hours
Page 1 of 1

 
移動先:  
新規投稿: 不可
返信投稿: 不可
記事編集: 不可
記事削除: 不可
投票参加: 不可


Hosting by SourceForge.jp
Powered by phpBB © 2001, 2005 phpBB Group
Traduction par : PHPBB JAPAN / EUC-JP Edition : JP Support Forum