締切済み

イメージファイルの中のウィルス

2010/10/10 18:42

イメージファイルの中のウィルス iso等のイメージファイルの中にウィルス等のマルウェアが含まれているか、どのようにしたら見分けることが可能ですか？（イメージをマウントないしインストールした場合に感染するウィルス）マウントしていない状態のイメージを直接、ノートン等のアンチウィルスソフトのスキャンで検出可能ですか？それともマウントした仮想ドライブをスキャンすることで検出するしかないのですか？よろしくお願いします。

getter2055
お礼率0% (0/17)

ウィルス・マルウェア
回答数8
ありがとう数2

みんなの回答 （8）
専門家の回答

みんなの回答

samtomsan
ベストアンサー率55% (1060/1897)

2010/10/12 14:13 回答No.8

Kaspersky でNISの検証で使った試験用ウイルスファイルを入れたISOファイルをスキャンしてみました。使用したKaspersky は試用版ですが、機能は製品版と同じだと思います。結果は、ISOファイルを指定してスキャンしましたらウイルスファイルを検出しました。使い慣れないので駆除されたかどうかまではログから読み取れませんでした。従って、質問者の目的には合っているようです。 VBまで検証する余力はありませんでした、VBユーザの方、すみません。

ログインすると、全ての回答が全文表示されます。

samtomsan
ベストアンサー率55% (1060/1897)

2010/10/11 22:40 回答No.7

e0_0e_OKさん、検証ありがとうございます。 Norton Internet Security 2001(以下NIS)でちょっと詳細に検証してみました。先の試験用ウイルスファイルのダウンロードではダウンロード時に検査・ダウンロード不可 eicar.com eicar.com.txt ダウンロード可 eicar_com.zip eicarcom2.zip eicar.lzh eicar.rar eicar.cab eicar_zip.exe eicar_rar.exe ダウンロードしたファイルを検査した結果 NIS インサイトネットワークスキャン eicar.cab　ファイル削除 eicar.lzh　ファイルは存在するが中の脅威を削除 eicar.rar　ファイル削除 eicar_com.zip　ファイルは存在するが中の脅威を削除 eicar_rar.exe　ファイル削除 eicar_zip.exe　ファイルは存在するが中の脅威を削除 eicarcom2.zip　ファイルは存在するが中の脅威を削除結果として、直接使う com/txtファイルは即座に処理されるが、圧縮ファイルは明示的にスキャンした場合に処理されるということのようです。 VBでeicar_com.zipの脅威が見つからないというのは？ですね。で、問題のISOファイルですが、NISをオフにして試験用ファイルを全て(com/txtも含めて)ダウンロードし、ISOファイルを作ってみました。 NISをオンにして検査した結果です。・ISOファイルを指定して検査しても何も見つからない・ISOファイルを展開した時に com/txtファイルは検出される・展開したディレクトリ（ファイル）では全て検出される NISでは展開した後にファイルを検査しないと検出されないという結果になりました。 NISもVBも rewritableさんが仰るところの「そのソフトは時代遅れの糞」のようです。ただし、そうであっても上記の結果が判っていれば私には何らの問題もありません。質問者の方には NIS は目的に合わないようです。なお蛇足ながら、説明書に書いてあることがまったくできなくて質問したら、「それは仕様です」と社長名で印を押した回答（昔々の一太郎V3の頃の話ですが）をするジャストシステムのソフトは私は使いません。

ログインすると、全ての回答が全文表示されます。

e0_0e_OK
ベストアンサー率40% (3382/8253)

2010/10/11 10:39 回答No.6

またNo.1 e0_0e_OK です。No.5の続きです。 Virus buster2011 でチェックした結果です。ダウンロード時には検出しませんでした。そしてデスクトップに置いたファイルを右クリックして検査したところ、eicar_com.zip は脅威見つからず、eicar_com2.zipは１つの脅威を検出しました。

ログインすると、全ての回答が全文表示されます。

e0_0e_OK
ベストアンサー率40% (3382/8253)

2010/10/11 10:16 回答No.5

No.1 e0_0e_OK です。 No.4の関連質問について検証の結果です。 KIS2011ではダウンロード時に検出しました。(eicar_com.xip 及び eicar_com2.zip いずれも) なお、元々の質問者さんのお聞きになっているのはダウンロード時の検出ではなくて手元に存在しているファイルをマウント/解凍することなく検出可能か、とお聞きになっているのではないですか。例えばファイルを右クリックで検査するとか。

ログインすると、全ての回答が全文表示されます。

samtomsan
ベストアンサー率55% (1060/1897)

2010/10/11 00:23 回答No.4

ANo.3回答者への質問で申し訳ありません。 > はい、出来ます。いちいち展開やマウントしないと検査できない対策ソフトがあったとしたら、そのソフトは時代遅れの糞です ISOファイルはわかりませんが、Norton Internet Security 2011(以下NIS) では lzh/rarなどの圧縮ファイルは検出できませんでした。圧縮ファイルのダウンロードはできます。コピーなどもできます。解凍する時に検出され削除されます。下記からダウンロードしたファイルの結果です。 http://www.eicar.org/anti_virus_test_file.htm http://eazyfox.homelinux.org/Security/Security24.html かってはNISに圧縮ファイルの中までスキャンする機能があったと思いますが（すでに忘れています）、2011では圧縮ファイルのスキャンのオン／オフの設定はありますが、オンにしてあってもダウンロードとかコピーでは検出されず、解凍の時に検出され削除されます。ウイルスバスターは使っていませんので、ウイルスバスター　オンラインスキャンを試してみましたが、オンラインスキャンではフルスキャンは行なわないようで、検出できませんでした。できましたら Kaspersky Internet Security 2011 で試して結果を教えていただけないでしょうか。

ログインすると、全ての回答が全文表示されます。

rewritable
ベストアンサー率23% (9/38)

2010/10/10 21:31 回答No.3

>ノートン等のアンチウィルスソフトのスキャンで検出可能ですか？はい、出来ます。いちいち展開やマウントしないと検査できない対策ソフトがあったとしたら、そのソフトは時代遅れの糞です。私は個人的にKaspersky Internet Security 2011が断然おすすめですね。仮想デスクトップを使用すればたとえイメージファイルをマウントしようとどうしようと感染することはありませんので。また、ガンブラーパターンの攻撃もまったく平気ですし。このソフト、2011製品の中ではダントツの高性能。 http://www.justsystems.com/jp/products/kaspersky/feature2.html

ログインすると、全ての回答が全文表示されます。

samtomsan
ベストアンサー率55% (1060/1897)

2010/10/10 20:05 回答No.2

ISOファイルを展開するツールを使って展開すれば、展開中にノートン等がチェックしてくれると思います。 ISOファイルを展開するツールには下記などがありますので、探してみてください。 http://www.gigafree.net/utility/extractnow.html http://www.gigafree.net/utility/universalextractor.html

ログインすると、全ての回答が全文表示されます。