『NODはザル？』のクチコミ掲示板

[マイクロソルト]

NOD32の試用版を先日から使っています。
メモリをあまり喰わないいいソフトだなぁと感心していたのですが、
GZipファイルをスキャンさせると、
サイズ、圧縮されているファイル数に関わらず、一瞬で終了します。
どうも、まったく中身をスキャンしていないようです。

環境はWindowsXP SP2　IE6 Pentium4 2.4GBHz メインメモリ 1GB
スキャン設定は、「検査対象」で、アーカイブなど全てにチェックを入れています。
「ThreatSense 検査オプション」も全てにチェックを入れています
「拡張子」は「全てファイルの検査」にチェックを入れています。

設定を反映させるために、システムを再起動させなければならないのかなぁと
やってみましたが、駄目でした。

GZipって環境によってはそんなにマイナーな圧縮形式でもないと思うのですが。
ドライブイメージを丸ごとバックアップするソフトなどでも使っているし。

多分、NOD32のベンダー側に言わせてみれば、たとえ、GZipファイルがマルウェアに
使われていても、マルウェアとして動き出した瞬間に感知できるから大丈夫！なのかなぁ？

誰かに配布するファイルを予め念のためにスキャンしておきたいとか、
GZipを感知できないとまずい状況なんていくらでもありそうにおもうのですけど。。。。

Norton や Kaspersky、F-Secure のセキュリティスイートは、設定しておけば、
GZipもスキャンしてくれます。

ただ、うちで使っているPCのうち、搭載メモリに余裕のあまりない機体があるし、
比較的メモリを喰わないカスペルスキーが、
インストール時にブルーバックになる機体もあるので、
NOD32がいいと思っていたのですが、、、余計に残念。

書込番号：6571586

[CCC3CCC]

NOD32を使用しているので検証してみました。

<検証環境>
OS:WindowsXP Professional SP2
NOD32バージョン:2.5
NOD32ウィルス定義ファイルバージョン:2416(20070724)
使用ウィルス:EICAR
NOD32設定情報:
　・検査対象
　　ファイル、ブートセクタ、メモリ、アーカイブ、自己解凍形式、圧縮された実行形式にチェック。
　・ThreatSense検査オプション
　　シグネチャ検査、ヒューリスティック検査、アドバンスドヒューリスティック、アドウェア/スパイウェア/リスクウェアにチェック。
　・拡張子
　　全てのファイルを検査にチェック。

<検証手順>
(1)EICARウィルスを作成
http://www.casupport.jp/resources/etrustav/tec/051010027.htm

(2)作成したウィルスをLame3.97(たまたま目に付いた)があるフォルダに移動。
(ウィルス単体を圧縮するのもあれなので。)

(3)(2)のフォルダをLhaplusでtar.gz形式に圧縮。
(LameエンコーダとEICARウィルスが入った圧縮ファイルの出来上がり)

(4)(3)の圧縮ファイルを右クリックし、NOD32アンチウィルスをクリック。

(5)見事に検出！

<検証結果>
tar.gz圧縮形式にあるウィルスは検出されました。

<余談>(乱文ですみません。)
個人的にはNOD32は軽くて、検索早くていいと思います。
特に検索とかは本当に検索しているか疑わしいほど早いですね。
(tar圧縮、ファイル数2529、圧縮ファイルサイズ190MBで30秒！)
ただ、ほかのアプリとの相性が出たりするんで、みんなにお勧めとはいえないですが。

というか、ウィルス対策ソフトって実はフリーでも十分な検出率を誇るんですよね。
フリーならAvast!は日本語化もできてかなりお勧めですね。
Nortonとかを購入している人は何に期待して買っているんだろう？
ちなみに自分は、軽さに期待してNOD32を選びました。

ってか今気づいたんですが、検査対象の｢圧縮された実行形式｣って何だろう？
もしかして、パッカーで圧縮したウィルスも検出できるのかな？

書込番号：6573104

[マイクロソルト]

CCC3CCCさんがおっしゃるように私も同様の検証をいたしました。

まず、「I_LOVE_YOU」というフォルダを作成し、
作成した、EICARを同梱します。
他にも、http://www.jimin.jp/sansen/download/images/poster.jpg
で、DLしたファイルも同梱します。
Lhaplusと、+Lhaca(Ver.は1.23ですね)で、それぞれ圧縮します。

白状しますと、私はGZIPについて詳しくなく、
実は、CCC3CCCさんがtar.gzと書かれるまで、
恥ずかしながら、tar→gzipという流れすら知りませんでした。
なお、+Lhaca では、TGZで圧縮しました。

結果、I_LOVE_YOU.tar.gz からは、EICARとして検出されましたが、
I_LOVE_YOU.tgz からは、EICARを検出できませんでした。
スキャンの設定は、前述の通りです。

よかったら、+Lhaca でも試してみてください。

I_LOVE_YOU.tgz が壊れているのかな、とも考えて、
NIS2004を入れているPCに入れてみました。
すると、NISから、駆除しましたとダイアログが出ました。

5月ぐらいに、EICAR を知るまで、このダイアログを見たことなかったので、
いまだに、現れるとNISに怒られているようでドキッとします。

また、私は、Partition Image で、2週間毎にシステムドライブのイメージを
GZIP形式で、640MBごとに分割してバックアップしています。
そのファイルをNOD32でスキャンすると、スキャンにかかった時間、「0秒」。

EICARをデスクトップに置いたままバックアップして、やってみましたが、何度やっても、
「0秒」でスキャンを終了します。

CCC3CCCさん、押し付けがましいことを言って失礼ですが、いくらNOD32がスキャンが
速いと言っても、640MBのGZIPファイルを0秒でスキャンを済ませるのは無理だと思います。
先ほどの I_LOVE_YOU.tgz の時もそうですが、中をスキャンしていないのでしょう。

GZIPでも、いろいろとあるのでしょうね。

>Nortonとかを購入している人は何に期待して買っているんだろう？

店頭でパッケージが目立つ。知名度。でしょうか。
私も2000年にNISを買ったときは、そんな理由でした。←3/4ウソです。
大きなシェアを持っているのは、商売が他のメーカーよりもうまいからでしょう。
事実、私はそれにのせられました。


使い続けているのは、巨人の悪口を言う他の球団のファンが嫌いだから、
巨人を応援するのに似ています。←ウソです。

どーしたいときは、こーすればいい、ということに慣れているからです。
他に、自分の使っているソフトやサービスとのマッチングがよく、
決定的な不満点がなかったからです。

ファイヤーウォールの設定も、このころの Ver. は好きだったし。
AV-Comparatives を時々見ていますが、そんなに悪くはないと思っていました。
ただ、100%信用はしていないので、時々各社のオンラインスキャンを利用したり、
ツールを使うことはありました。

また、どれほど、PCに仕事や生活が依存しているかの度合いにもよりますが、
セキュリテイソフトに限らず、ソフトを一つ変えると、
PCを仕事で使おうと、娯楽で使おうと、それに合わせた使い方を編み出さなければならなず、
物凄く時間と労力を使うと思います。
知識と技術が乏しいとなおさらだと思います。

自分のだけならともかくとして、家族の共用PCに入れたセキュリテイソフトの使い方、
用語の意味、手順を教えるのも大変です。

しかし、NIS2004のサポート期限が切れるので、私の環境や使い方に合ったソフトを探そうと
4月からいろいろと自分の使用環境で検証していたのですが、
それでNOD32とOutpostがよさそうという結論になりそうでした。
他のはどれも、どう設定を調節しても私の使い方や環境では、事実上使うのが困難だったり、
使えない点がいろいろとあり、乗り換えるのが困難でした。


出来れば、導入するソフトは全て統一したいのですが、
うちは、F-Secureのムーミンはいいけど、NOD32の目玉は気持ちが悪いと、
もう先入観を持たれてしまっています。


GZipのことは忘れようとも思いますが、、、、
何か方法がないか、一応、Canonに聞いてみます。多分相手にされないでしょうけど。

ちなみに私は特定の球団のファンではないのですが、好きなプロ野球選手はたくさんいます。

書込番号：6575208

[CCC3CCC]

+Lhacaでtgzに圧縮して検証してみました。
検証手順はほぼ同じなので割愛します。
結果、検出されませんでした。

う〜む、謎ですね。
というのも、tar.gz形式のファイルをMS-DOSでも扱えるようにしたのが、
tgz形式でありまして、中身は同じなのです。
(拡張子をtar.gzからtgzに変更しただけ。
MS-DOSでは、ファイル名に8文字+拡張子3文字しか使えなかった。)

で、本当にtgzはtar.gzと同一なのかバイナリエディタを使用して調べてみました。
すると、tar.gzには、gz(GZIP)で圧縮する前のtarファイルの名前が有るのですが、
tgzには有りませんでした。

他にも、tgzで圧縮できるソフトを色々探して検証をしたところ、tgzは圧縮するソフトによって、
gzで圧縮する前のtarファイルの名前が有ったり無かったりしていました。
そして、tgzで圧縮したファイルでかつ、バイナリデータ上にtarファイルの名前が有るものは、
NOD32でウィルスを検出できるということが分かりました。

自分にわかったことはここまでです。
肝心なところが分からずじまいで申し訳ありません。

あと、下記の件、
>また、私は、Partition Image で、2週間毎にシステムドライブのイメージを
>GZIP形式で、640MBごとに分割してバックアップしています。
>そのファイルをNOD32でスキャンすると、スキャンにかかった時間、「0秒」。

イメージファイルをGZIP形式で圧縮していると言うことですが、
圧縮したGZIP形式を解凍すると、イメージファイルが1つ出てくる、
という認識でいいでしょうか？

もし、イメージファイルが1つ出てくるだけであるならば、tgzの件とは別で検出できないかもしれません。

以下、自分の憶測です。間違っているかもしれません。
NOD32はウィルスを検出する方法として、ファイルのハッシュとウィルスのハッシュを
比較しているような感じです。
少なくとも圧縮ファイルでないファイルについては中身を見ていないようです。
そして、NOD32が今回のイメージファイルを検査するとき、イメージファイルが
ウィルスファイルでないことだけを検査してそうです。
そうすると、イメージファイル自体はウィルスファイルではないのだから、
ウィルスは検出されず、また、検出にかかる時間も0秒というのもうなづけます。
以上から、イメージファイル内のウィルスも検出したいという要望については、
NOD32は不適切かもしれません。

ちなみに、Nortonなどはファイルの中身自体も見ているという風のうわさを聞きました。

以上、全く回答になっていないし(しかも長文･･･)、分からないことだらけのままで本当に申し訳ありません。

>店頭でパッケージが目立つ。知名度。でしょうか。
>私も2000年にNISを買ったときは、そんな理由でした。←3/4ウソです。
>大きなシェアを持っているのは、商売が他のメーカーよりもうまいからでしょう。
>事実、私はそれにのせられました。
たしかに知名度は高いですよね。自分も最初(5年ほど前)はNortonを使っていたのですが、
重くて重くて･･･。それから色々ウィルス対策ソフトは試しましたね。

>うちは、F-Secureのムーミンはいいけど、NOD32の目玉は気持ちが悪いと、
>もう先入観を持たれてしまっています。
確かにNOD32の目玉は気持ち悪いですね。(笑)
F-Secureはムーミンですか。ちょっとびっくりです。

>GZipのことは忘れようとも思いますが、、、、
>何か方法がないか、一応、Canonに聞いてみます。多分相手にされないでしょうけど。
ぜひCanonに聞いてみてください。自分では力不足過ぎて･･･。

書込番号：6576334

[マイクロソルト]

gzipの名前の件、拝読いたしました。
私の知識や技術は未熟なので、CCC3CCCさんが示されていることから、
何かを洞察することは出来ないのですが、NOD32がファイルを検査するやり方について、
何かを示唆しているのだと私は思います。
個人的に何かに繋がると思いますので、私はよく覚えておこうと思います。


>イメージファイルをGZIP形式で圧縮していると言うことですが、
>圧縮したGZIP形式を解凍すると、イメージファイルが1つ出てくる、
>という認識でいいでしょうか？

その通りだと思います。
Partiton Image など、Linuxのレスキューツールがいろいろと同梱されたISOイメージを
焼いたCD-Rからマシンを起動させ、バックアップに使うドライブをマウントし、
Partiton Image を起動後、バックアップするときは、作成する圧縮ファイル名を
例えば「tomato_070726」と指定し、作成するファイルの上限を、例えば640MBに指定して、
バックアップ作業を開始すれば、640MBごとに、tomato_070726.000、tomato_070726.001、
tomato_070726.002、と自動で名前を割り振りながら、640MBの圧縮ファイルを
作成してくれます。

逆に、解凍する時は、解凍したいドライブイメージの先頭のファイル名、上記なら、
「tomato_070726.000」を指定しておけば、後の、tomato_070726.001、tomato_070726.002は
自動で読み込んで解凍してくれます。

解凍後、マシンを再起動、Windowsをブートすれば、保存しておいた時点にWindowsが戻る
という具合です。


安定していたときのWindowsを予めバックアップさえしておけば、
数分の作業で、Windowsの「システムの復元」機能よりきれいで、確実に前の安定していた
Windowsに戻るので、ついついPartition Imageに頼ってしまい、全然修復技術の
勉強にならないのですが。。。。

ちなみにPartition Imageで bzip形式に分割圧縮したファイルなら、NOD32も、
NISなどと同様に中身をスキャンしてくれます。

gzipに比べて圧縮展開に3倍時間がかかる割に、圧縮率がgzipと変わらないので
今までbzipは使っていませんでした。

それから、昨日、Lhaplus で Eicar からいろいろな圧縮形式でファイルを作成し、
NOD32と、NIS2004でスキャンさせたのですが、両方ともスキャンしても
検出できないファイル形式がありました。
拡張子.bh と .xxe、.b64 です。.uueはNOD32だけ検出できませんでした。

もう、解凍されたときに検出さえしてくれればいいということで、忘れることにしました。
けどこれらの展開プログラム同梱の圧縮されたマルウェアを誰も作らないことを祈りつつ。

しかし、gzipだけはGoogleで検索しても他の圧縮形式より桁違いに多く扱われているようなので、
対応したほうが、「ユーザー全体」のセキュリテイと、
「メーカー、ベンダー」の利益に繋がるはずと固く、固く、かたーーーく、信じているので、
スキャンされないgzipがあるとCanonに連絡しました。

NISやF-Secure、カスペルスキーに対応できて、NOD32に対応出来ない
というのはシャクな気がします。(もうすっかりNOD32のユーザー気取り)

もしも、Canonからいい返事がきた場合は、こちらに報告します。
返事がこない場合、来ても対応するつもりはないという内容の場合は、
報告しないことにします。


>以上、全く回答になっていないし(しかも長文･･･)、分からないことだらけのままで本当に申し訳ありません。

とんでもないです。
恐縮ですが、CCC3CCCさんの文は読みやすく整理されていて、要点がわかりやすいので、私は好きです。
読み手のことを考えて書いてくださっていることがよく伝わってきます。

書込番号：6578893

[CCC3CCC]

どうも、CCC3CCCです。

>しかし、gzipだけはGoogleで検索しても他の圧縮形式より桁違いに多く扱われているようなので、
>対応したほうが、「ユーザー全体」のセキュリテイと、
>「メーカー、ベンダー」の利益に繋がるはずと固く、固く、かたーーーく、信じているので、
>スキャンされないgzipがあるとCanonに連絡しました。
確かにgzip形式は多く使われていますね。
SolarisやLinuxを扱う人にとってはなくてはならないものですし、
Windowsでも使う人がいると思いますし。

>もしも、Canonからいい返事がきた場合は、こちらに報告します。
>返事がこない場合、来ても対応するつもりはないという内容の場合は、
>報告しないことにします。
そうですね。Canonから返事が来ましたら、ぜひ報告をお願いします。

>恐縮ですが、CCC3CCCさんの文は読みやすく整理されていて、要点がわかりやすいので、私は好きです。
>読み手のことを考えて書いてくださっていることがよく伝わってきます。
こちらこそ、つたない文章を褒めていただき恐縮です。
これからも分かりやすい文章を書けるよう日々努力していきたいと思います。

書込番号：6580488