clamav-update
clamav-update のフォーラム
 
 FAQFAQ   検索検索   メンバーリストメンバーリスト   ユーザーグループユーザーグループ   登録する登録する 
 プロフィールプロフィール   プライベートメッセージをチェックするプライベートメッセージをチェックする   ログインログイン 

ClamXavもClamAVもMacのリソースフォークはスキャンしない

 
新しいトピックを投稿   トピックに返信    clamav-update Forum Index -> Idle Talk
前のトピックを表示 :: 次のトピックを表示  
投稿者 メッセージ
okamura
Site Admin


登録日: 2006.11.13
記事: 291
所在地: 埼玉県

記事日時: 2007-08-22 08:09:07+00:00    記事の件名: ClamXavもClamAVもMacのリソースフォークはスキャンしない 引用付きで返信

今、ClamXav のフォーラムのトピック「Mark's Software Forums :: トピックを表示 - Empty Files?」で Mac のリソースフォークのことが話題になっています。

ClamXav も ClamAV も Mac のリソースフォークはスキャンしません。

それを実証するために ClamAV のテスト用の仮想感染ファイル clam.exe をリソースフォークに入れた foo というファイルを testRsrc というフォルダの中に作成して ClamAV や ClamXav でスキャンさせてみました。

以下、その様子です。
Code:
$ cd /usr/local/src/clamav
$ tar xfz clamav-0.91.2.tar.gz
$ cd ~/Desktop
$ mkdir testRsrc
$ cd testRsrc
$ echo bar > foo
$ ls -l foo
-rw-r--r--   1 myname  myname  4 Aug 22 07:28 foo
$ cat /usr/local/src/clamav/clamav-0.91.2/test/clam.exe >> foo/rsrc
$ ls -l foo
-rw-r--r--   1 myname  myname  4 Aug 22 07:28 foo
$ ls -l foo/rsrc
-rw-r--r--   1 myname  myname  544 Aug 22 07:29 foo/rsrc
$ clamdsh.pl

/var/ClamdOmitScan/clamd.socket$ SCAN $PWD/foo
/Users/myname/Desktop/testRsrc/foo: OK

/var/ClamdOmitScan/clamd.socket$ SCAN $PWD/foo/rsrc
/Users/myname/Desktop/testRsrc/foo/rsrc: ClamAV-Test-File FOUND

/var/ClamdOmitScan/clamd.socket$ exit

$ clamscan
/Users/myname/Desktop/testRsrc/foo: OK

----------- SCAN SUMMARY -----------
Known viruses: 148141
Engine version: 0.91.2
Scanned directories: 1
Scanned files: 1
Infected files: 0
Data scanned: 0.00 MB
Time: 2.260 sec (0 m 2 s)
$ clamdscan
/Users/myname/Desktop/testRsrc: OK

----------- SCAN SUMMARY -----------
Infected files: 0
Time: 0.002 sec (0 m 0 s)
$
ClamXav は GUI なので画像を貼付けないとエビデンスにならないので省略ですしますが、このファイル foo やそれを含むフォルダ testRsrc を ClamXav のアイコンにドラッグ&ドロップしてスキャンさせても結果は同じで、リソースフォークの(疑似)感染を発見できず、ClamXav のスキャン対象の欄に明示的に“/rsrc”を追加してリソースフォークをスキャンさせれば感染が報告されます。ClamXav の GUI で“/rsrc”を追加する方法はありません。一旦終了させてプリファレンスを弄って追加します。この方法で発見はできますが、隔離フォルダへの移動などはできません。

Mac ユーザにとってこれは ClamAV による防御に大きな抜け道があることを意味します。通常操作ではリソースフォークの感染を発見できないからです。

そこで、このプロジェクトで提供している ClamdOmitScan でこれに対応したらどうだろうと思いました。今見ているディレクトリが HFS+ などリソースフォークがファイルとして独立しないファイルシステムの場合、各ファイルのリソースフォーク(“/rsrc”をパスの後ろに付けるとアクセス可能)も検査するというアイデアです。

ただし、当然ですがスキャン時間は長くなります。そして ClamAV がリソースフォークを考慮していないのでそのウィルスデータベースにリソースフォークに感染するものは登録されていないと考えた方がよいでしょう。つまりスキャン時間が長くなってもあまり効果がないかもしれません。しかし、リソースフォークに感染ファイルを隠蔽して侵入させ、それを取り出して悪さをする攻撃ファイルには対応できるでしょう。

ここは Mac ユーザが多いので感想などあったら聞かせてください。
_________________
OKAMURA
トップに戻る
ユーザーのプロフィールを表示 プライベートメッセージを送信 投稿者のウェブサイトに移動 AIM
隅本証平



登録日: 2006.11.16
記事: 10

記事日時: 2007-08-23 00:52:05+00:00    記事の件名: Re: ClamXavもClamAVもMacのリソースフォークはスキャンしない 引用付きで返信

okamura wrote:

ClamXav も ClamAV も Mac のリソースフォークはスキャンしません。
(中略)
そこで、このプロジェクトで提供している ClamdOmitScan でこれに対応したらどうだろうと思いました。今見ているディレクトリが HFS+ などリソースフォークがファイルとして独立しないファイルシステムの場合、各ファイルのリソースフォーク(“/rsrc”をパスの後ろに付けるとアクセス可能)も検査するというアイデアです。


ようやく、 clamscan や、 clamdscan の使い方を理解始めたところなので、新機能を盛り込んだ clamdOmitScan を公表いただけるのなら、この3者について、楽しみながら、動作の比較を行いたくなると思います。

ということで、リソースフォーク検査可能な更新版を公開して下さるならば、個人的には、とても喜ぶと思います。
トップに戻る
ユーザーのプロフィールを表示 プライベートメッセージを送信
okamura
Site Admin


登録日: 2006.11.13
記事: 291
所在地: 埼玉県

記事日時: 2007-08-25 21:55:59+00:00    記事の件名: Re: ClamXavもClamAVもMacのリソースフォークはスキャンしない 引用付きで返信

スキャンの記録に関して技術的に難しいところもありますが、そこはなんとか考えてみます。

使う人にとって関心があるところはリソースフォークの検査をするようにしたらどれくらいスピードに影響が出てくるかというところだと思います。最大二倍程度の時間がかかるようになりますが、リソースフォークにあるデータは小さいのが普通なので実際は多くて一割くらいスキャン時間が伸びる程度だろうと予想しています。

技術的な方針が固まったらプロトタイプを作ってみてますね。
_________________
OKAMURA
トップに戻る
ユーザーのプロフィールを表示 プライベートメッセージを送信 投稿者のウェブサイトに移動 AIM
okamura
Site Admin


登録日: 2006.11.13
記事: 291
所在地: 埼玉県

記事日時: 2007-08-26 22:19:41+00:00    記事の件名: リソースフォークのスキャンをサポートしたβ版 引用付きで返信

リソースフォークのスキャンをサポートしたβ版のアナウンスをポストしました。
clamav-update :: トピックを表示 - ClamdOmitScan 1.1 β
_________________
OKAMURA
トップに戻る
ユーザーのプロフィールを表示 プライベートメッセージを送信 投稿者のウェブサイトに移動 AIM
特定期間内の記事を表示:   
新しいトピックを投稿   トピックに返信    clamav-update Forum Index -> Idle Talk All times are GMT + 9 Hours
Page 1 of 1

 
移動先:  
新規投稿: 不可
返信投稿: 不可
記事編集: 不可
記事削除: 不可
投票参加: 不可


Hosting by SourceForge.jp
Powered by phpBB © 2001, 2005 phpBB Group
Traduction par : PHPBB JAPAN / EUC-JP Edition : JP Support Forum