【オープンソース】clamXav【ウイルスチェック】

【オープンソース】clamXav【ウイルスチェック】 at MAC

854:名称未設定
06/12/21 09:49:36 /zMT8u3Y0
clamav-0.88.7 解凍できね。

855:名称未設定
06/12/21 10:02:02 fUN0IU5n0
？

856:名称未設定
06/12/21 10:11:14 nM3YBTYs0
そもそも解凍するもんじゃないし。

857:名称未設定
06/12/22 19:45:18 r0Sx/mxW0
今さらながら使い方教えて下さい。

環境：MacBook CoreDuo　10.4.8

１：ClamXavの方のスケジュールでスキャンされる対象は『スキャン対象を選択』で指定された所だけでしょうか？
２：『監視するフォルダ』に登録されたフォルダは、そのフォルダ以下の階層全てを監視してくれるのでしょうか？
３：『メールをスキャンする』のチェックを外し『監視するフォルダ』に~/ライブラリ/Mail/を登録し感染ファイルを隔離した時もmboxごと隔離されてしまうのでしょうか？

858:名称未設定
06/12/23 02:44:44 Ua3k0noB0
>>857
ネットに繋ぐな。

859:名称未設定
06/12/23 02:52:17 S+QsinBZ0
せっかく付いたレスがこれかよ…。
神様辛過ぎる。

860:名称未設定
06/12/23 09:06:03 J1qVrDA20
ソース落としたらダミーのウィルスも付いてこなかったっけ？
それで試してみたら？

861:名称未設定
06/12/23 11:34:15 ErdDnrL60
>>857
1 スケジュール機能は使っていないので知らない。
2 チェックしてくれるのは指定フォルダの第一階層のみ。でイマイチ使えんとこのスレで読んだが。
3 なぜそんな使い方をするのかわからない。そのやり方では実際にウイルスを撥ねることはできなさそうだが…。
　OS10.4.xからはメール1通＝ファイル1個となり
　10.3.xみたいに複数メールが束ねて記録されてるわけではない
　現環境下でMailをスキャンさせ自動隔離させても
　致命的なコト（関係ないメールが巻き添え食う）は起きないと思う。
大事な書類のバックアップはしっかり取っておけよ。
長年の習慣でウイルスは見つけても報告させるだけにして自動隔離機能はOFFにして運用している。

>>860 も言ってるように
テスト用のファイルを落として自分の環境で実際に働かせてみるのが一番納得できると思う。
>> 319,820 で紹介されているeicarのでもOK
動作結果の報告よろしく!

862:名称未設定
06/12/23 15:21:03 S+QsinBZ0
おお！素晴らしいレスが付いているじゃないですか！

そうか！ダミーのウィルスってのが有ったんですね。
しかもこのスレの中にURLまで載ってる！

>>861
3　ですが、おっしゃるように10.4からメール1通＝1ファイルになっているはずですよね？
だから、監視フォルダに~/ライブラリ/Mail/を登録しておくと、メールを受信した瞬間に隔離してくれると思ったです。
でも、環境設定で”メールをスキャン”を選択すると”感染ファイルの隔離”がグレーアウトして効きません。

さらに、~/ライブラリ/Mail/の中にアカウント分のサブフォルダとメールボックスが有ります。
第一階層しか見てくれないのならば、アカウント分の監視フォルダを指定しなければいけないです。

今、メールにウィルスが仕込まれている物が無いようで（サーバー側で蹴られている可能性が大）ちっともヒットしてくれないですよ。
で、”メールをスキャン”をONにした時、高密度圧縮したものがヒットしたようなのですが、ファイル名でリストしていたので探すのに難儀してました。

とりあえず、リンク先の物をダウンロードしてメールに添付して自分に送ってみます。

863:857
06/12/23 16:53:17 S+QsinBZ0
結果報告　その1

MacBook　CoreDuo　Tiger
ClamXav　1.06
Clamav　　0.88.7

監視フォルダですが、やはり第一階層しか見てくれないようです。

■DLフォルダを監視フォルダに指定して前出のファイルをDLしてみました。
見事にはじいてくれますが、DLフォルダをそのサブフォルダに設定してみた所はじかれませんでした。

■そのファイルを添付したメールを自分宛に送ってみました。
”メールをスキャンする”に設定しても、~/ライブラリ/Mail/を監視フォルダに指定しても、また、アカウントのinboxを監視フォルダに指定しても、
引っかかりませんでした。

　※気になるのは”メールをスキャンする”が効かない事です。

■ClamXavを起動して~/ライブラリ/Mail/を”スキャン対象を選択”に指定して、”メールをスキャンする”を『ON』でスキャンしてみました。

こちらはそのサブフォルダまでスキャンしてくれるようです。
全てのファイルが検出されました。

　※1件以上の感染ファイルが見つかりましたが、隔離はされておりません。手動で移動するか、環境設定で隔離フォルダを設定してから再度スキャンして下さい。

と言うメッセージが出ました。

■次にClamXavを起動して~/ライブラリ/Mail/を”スキャン対象を選択”に指定して、”メールをスキャンする”を『OFF』”感染ファイルを隔離する”でスキャンしてみました。
感染メールはヒットしませんでした。

　※添付ファイルは~/ライブラリ/Mail/では無くて他の場所なのでしょうか？

864:857
06/12/23 18:47:33 S+QsinBZ0
ん～。やっぱり、"Scan e-mail files"をONで/Users/XXX/Library/Mail/を指定すると、
/Users/XXX/Library/Mail/POP-XXX@pop.mail.XXX.co.jp/INBOX.mbox/Messages/66210.emlx: Eicar-Test-Signature FOUND
と出ますが、その状態のまま
"Scan e-mail files"をOFFで/Users/XXX/Library/Mail/POP-XXX@pop.mail.XXX.co.jp/INBOX.mbox/Messages/を指定しても引っかからないですね。

しかも、"Scan e-mail files"をONでウィルスを添付したメールを受け取っても警告してくれません。
メールのウィルスチェックはリアルタイムで見ていないって事ですかね？

865:857
06/12/23 19:02:28 S+QsinBZ0
”メールダウンロード”っていうフォルダが有るんだけど、そこは添付ファイルを開いた時にファイルの保管場所として使われているみたい。
試しにそこを”監視フォルダ”に登録してみたけれど、添付ファイルを開かない限り（フォルダにファイルが現れるまで）スキャンしない。
しかも、アクセス権が無くてどうにも出来ないみたい。

ClamXavってネットに繋がっていないとハングアップするね。

866:857
06/12/23 19:22:35 S+QsinBZ0
あと、スケジュールですが、ClamXavの”環境設定＞スキャン対象”で『指定した場所から下のデレクトリだけ』スキャンするようです。
デスクトップに置いたフォルダと、他の場所のフォルダのエイリアスを置いて各々テスト用のファイルを置いてみました。
ログファイルを見ると、エイリアスはチェックしていないようです。

ですから、メールチェックをONにした時、~/ライブラリを”スキャン対象”として指定していないとウィルスメールはいつまで経っても「発見されない」と言う事になりそうです。

867:857
06/12/23 19:36:33 S+QsinBZ0
【まとめ】
●ClamXavは「スキャン対象」で指定したフォルダ以下（エイリアスは無視）をスキャンする。
●ClamXav Sentryは「指定したフォルダのみ」を監視する。
●メールスキャンはリアルタイムでメールを監視していない。
●メールスキャンはスケジュールとClamXavのスキャンを実行した時のみ使用される。その時”スキャン対象”に”~/ライブラリ/Mail”が含まれていなければならない。
●スケジュールは「スキャン対象」で指定したフォルダ以下（エイリアスは無視）をスキャンする。

メモ帳代わりに使ってすみません。

もし間違いが有ればご指南を。

868:名称未設定
06/12/23 21:00:49 ErdDnrL60
>>867
857 おつかれさま。自分はそこまで厳格に動作検証をしていないので
完全に正しいかどうかはわからないけど、たぶんそれで正解だと思うよ。

869:857
06/12/23 21:22:01 dynEu0xy0
と言う事でメールに添付されているファイルを開く時は、
『あらかじめダウンロードフォルダを”監視するフォルダ”に登録して一度ダウンロードフォルダに保存してから開く』
という方法をとるしかなさそうですね。

あと、ブラウザのダウンロードフォルダを”監視するフォルダ”に登録しておけば更に便利。

該当メールの削除はパスからファイル名を探し出すしかなさそうです。
なぜか、Finderの検索でファイル名で検索出来ないのですよ。

870:名称未設定
06/12/24 16:34:02 Hodmcmey0
俺はブラウザのダウンロードフォルダもメールの添付ファイルの保存フォルダもデスクトップ。
そのデスクトップを監視フォルダにしてるから、計らずしてチェックはOK。

871:857
06/12/24 17:56:51 vwvzJRHb0
インストーラーで何かをインストールされたらどうなるんだろう。
インストールパッケージの中身もチェックしてるのかな？

872:名称未設定
06/12/24 22:00:03 HEo3coAN0
>>870
同じくです。それが普通じゃね？

873:名称未設定
06/12/24 22:18:11 IK5NI/lg0
>>871
しとらん
パッケージはようは単なるアーカイブ（を含んだディレクトリ）だから
遠い将来には対応してくれるかもしれないけど
同じアーカイブでももっとメジャーな各種圧縮アーカイブでさえ
未だ対応してないのがあるくらいだから
インストールされたモノをチェックする癖をつけた方がいいんじゃない

インストール場所はlsbom, PackageMaker, Pacifistなんかで簡単に見られる
インストール場所を指定できるパッケージなら監視対象フォルダにインストールすればいい

>>872
それは人による
色んな（人の）マックを触ってるけど使い慣れない人はデフォルト（デスクトップ）のままの人が多い
慣れてる人は人それぞれ
「普通」と言える程多くはないと思う（特にDLと添付ファイル両方デスクトップは）

874:名称未設定
06/12/25 02:25:04 1U1dJR1+0
デフォルトはDocumentsとかじゃね？