前のトピックを表示 :: 次のトピックを表示 |
投稿者 |
メッセージ |
okamura Site Admin

登録日: 2006.11.13 記事: 291 所在地: 埼玉県
|
日時: 2007-08-22 08:09:07+00:00 記事の件名: ClamXavもClamAVもMacのリソースフォークはスキャンしない |
|
|
今、ClamXav のフォーラムのトピック「Mark's Software Forums :: トピックを表示 - Empty Files?」で Mac のリソースフォークのことが話題になっています。
ClamXav も ClamAV も Mac のリソースフォークはスキャンしません。
それを実証するために ClamAV のテスト用の仮想感染ファイル clam.exe をリソースフォークに入れた foo というファイルを testRsrc というフォルダの中に作成して ClamAV や ClamXav でスキャンさせてみました。
以下、その様子です。 Code: | $ cd /usr/local/src/clamav
$ tar xfz clamav-0.91.2.tar.gz
$ cd ~/Desktop
$ mkdir testRsrc
$ cd testRsrc
$ echo bar > foo
$ ls -l foo
-rw-r--r-- 1 myname myname 4 Aug 22 07:28 foo
$ cat /usr/local/src/clamav/clamav-0.91.2/test/clam.exe >> foo/rsrc
$ ls -l foo
-rw-r--r-- 1 myname myname 4 Aug 22 07:28 foo
$ ls -l foo/rsrc
-rw-r--r-- 1 myname myname 544 Aug 22 07:29 foo/rsrc
$ clamdsh.pl
/var/ClamdOmitScan/clamd.socket$ SCAN $PWD/foo
/Users/myname/Desktop/testRsrc/foo: OK
/var/ClamdOmitScan/clamd.socket$ SCAN $PWD/foo/rsrc
/Users/myname/Desktop/testRsrc/foo/rsrc: ClamAV-Test-File FOUND
/var/ClamdOmitScan/clamd.socket$ exit
$ clamscan
/Users/myname/Desktop/testRsrc/foo: OK
----------- SCAN SUMMARY -----------
Known viruses: 148141
Engine version: 0.91.2
Scanned directories: 1
Scanned files: 1
Infected files: 0
Data scanned: 0.00 MB
Time: 2.260 sec (0 m 2 s)
$ clamdscan
/Users/myname/Desktop/testRsrc: OK
----------- SCAN SUMMARY -----------
Infected files: 0
Time: 0.002 sec (0 m 0 s)
$ | ClamXav は GUI なので画像を貼付けないとエビデンスにならないので省略ですしますが、このファイル foo やそれを含むフォルダ testRsrc を ClamXav のアイコンにドラッグ&ドロップしてスキャンさせても結果は同じで、リソースフォークの(疑似)感染を発見できず、ClamXav のスキャン対象の欄に明示的に“/rsrc”を追加してリソースフォークをスキャンさせれば感染が報告されます。ClamXav の GUI で“/rsrc”を追加する方法はありません。一旦終了させてプリファレンスを弄って追加します。この方法で発見はできますが、隔離フォルダへの移動などはできません。
Mac ユーザにとってこれは ClamAV による防御に大きな抜け道があることを意味します。通常操作ではリソースフォークの感染を発見できないからです。
そこで、このプロジェクトで提供している ClamdOmitScan でこれに対応したらどうだろうと思いました。今見ているディレクトリが HFS+ などリソースフォークがファイルとして独立しないファイルシステムの場合、各ファイルのリソースフォーク(“/rsrc”をパスの後ろに付けるとアクセス可能)も検査するというアイデアです。
ただし、当然ですがスキャン時間は長くなります。そして ClamAV がリソースフォークを考慮していないのでそのウィルスデータベースにリソースフォークに感染するものは登録されていないと考えた方がよいでしょう。つまりスキャン時間が長くなってもあまり効果がないかもしれません。しかし、リソースフォークに感染ファイルを隠蔽して侵入させ、それを取り出して悪さをする攻撃ファイルには対応できるでしょう。
ここは Mac ユーザが多いので感想などあったら聞かせてください。 _________________ OKAMURA |
|
トップに戻る |
|
 |
隅本証平
登録日: 2006.11.16 記事: 10
|
日時: 2007-08-23 00:52:05+00:00 記事の件名: Re: ClamXavもClamAVもMacのリソースフォークはスキャンしない |
|
|
okamura wrote: |
ClamXav も ClamAV も Mac のリソースフォークはスキャンしません。
(中略)
そこで、このプロジェクトで提供している ClamdOmitScan でこれに対応したらどうだろうと思いました。今見ているディレクトリが HFS+ などリソースフォークがファイルとして独立しないファイルシステムの場合、各ファイルのリソースフォーク(“/rsrc”をパスの後ろに付けるとアクセス可能)も検査するというアイデアです。 |
ようやく、 clamscan や、 clamdscan の使い方を理解始めたところなので、新機能を盛り込んだ clamdOmitScan を公表いただけるのなら、この3者について、楽しみながら、動作の比較を行いたくなると思います。
ということで、リソースフォーク検査可能な更新版を公開して下さるならば、個人的には、とても喜ぶと思います。 |
|
トップに戻る |
|
 |
okamura Site Admin

登録日: 2006.11.13 記事: 291 所在地: 埼玉県
|
日時: 2007-08-25 21:55:59+00:00 記事の件名: Re: ClamXavもClamAVもMacのリソースフォークはスキャンしない |
|
|
スキャンの記録に関して技術的に難しいところもありますが、そこはなんとか考えてみます。
使う人にとって関心があるところはリソースフォークの検査をするようにしたらどれくらいスピードに影響が出てくるかというところだと思います。最大二倍程度の時間がかかるようになりますが、リソースフォークにあるデータは小さいのが普通なので実際は多くて一割くらいスキャン時間が伸びる程度だろうと予想しています。
技術的な方針が固まったらプロトタイプを作ってみてますね。 _________________ OKAMURA |
|
トップに戻る |
|
 |
okamura Site Admin

登録日: 2006.11.13 記事: 291 所在地: 埼玉県
|
|
トップに戻る |
|
 |
|