<?xml version~"1.0" encoding="EUC-JP" ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.DTD"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ja"> <head> <meta http-equiv="Content-Type" content="text/html; charset=euc-jp" /> <meta http-equiv="content-style-type" content="text/css" /> <meta name="copyright" content="" /> <title>Clam Antivirusに関するメモ</title> <link rel="copyright" title="GNU General Public License" href="http://www.gnu.org/copyleft/gpl.html#SEC1" /> <style type="text/css"> a { color: #006633; text-decoration: none; } a:hover { color: #ffffff; background-color: #336666; } body { margin: 5% 10% 5% 10%; color: #333333; width: 80%; line-height: 170%; } div.contents { margin: 2em 0em; line-height: 100%; } .contents dl { margin: 0em 0em; } .contents a { color: #000000; text-decoration: none; } .contents a:hover { color: #ffffff; background-color: #333333; } div.chapter { margin: 3em 0em 3em 0em; } div.section { margin: 1em 0em 1em 3em; border: 1px solid #ffffff; } div.section:hover { border: 1px dotted #cccccc; } .section div,.section p,.section ul,.section li,.section dl { border: 1px solid #ffffff; } .section p { margin: 1em 0em 1em 1em; text-indent: 1em; } .section pre { margin: 1em 0em 1em 1em; border: 1px solid #000000; line-height: 120%; } .section ul,.section ol { margin: 1em 0em 1em 2em; } .section dl { margin: 1em 0em 1em 1em; } .section dt { margin: 0em 0em 0em 0em; } .section dd { margin: 0em 0em 1em 2em; } .section blockquote { background-color: #ffffff; border: 1px dotted #000000; } .section *:hover { color: #000000; } .section div:hover { border: 1px dotted #cccccc; } .section a:hover { color: #ffffff; } .section p:hover,.section li:hover,.section dl:hover,.section pre:hover { background-color: #eeffee; } .section dt:hover,.section dd:hover { background-color: #99ffcc; } .section code { } # .section dl.tree { margin: 0em 0em 0em 1em; } # dl.tree dd { margin: 0em 0em 0em 1em; } h2 { color: #ffffff; background-color: #333333; line-height: 150%; } .section h3,.section h4 { color: #000000; border-bottom: 1px solid #336666; line-height: 150%; } .section h5,.section h4 { color: #000000; border-bottom: 1px solid #336666; line-height: 100%; } table { margin: 1em 0em 1em 1em; } table:hover { background-color: #eeffee; } tr:hover { background-color: #99ffcc; } th,td.opt { white-space:nowrap; text-align: left; } </style> </head> <body> <h1>Clam Antivirusに関するメモ</h1> <div class="contents"><h2>目次</h2> <dl> <dd><a href="#c1">1. Clam Antivirusについて</a> <dl> <dd><a href="#c1.1">1.1. Clam Antivirusについて</a></dd> <dd><a href="#c1.2">1.2. Clam Antivirus ホームページ</a></dd> <dd><a href="#c1.3">1.3. ClamAVの能力</a> <dl> <dd><a href="#c1.3.1">1.3.1. "in the wild"ウイルスへの対応</a></dd> <dd><a href="#c1.3.2">1.3.2. 新種のウイルスへの対応</a></dd> <dd><a href="#c1.3.3">1.3.3. ウイルスの駆除・修復</a></dd> <dd><a href="#c1.3.4">1.3.4. どの程度使い物になるのか</a></dd> </dl> </dd> <dd><a href="#c1.4">1.4. 未対応のウイルスに対応するまでの流れ</a> <dl> <dd><a href="#c1.4.1">1.4.1. 未対応のウイルスを見かけたら</a></dd> <dd><a href="#c1.4.2">1.4.2. VirusDBチームへウイルスを提供する</a></dd> <dd><a href="#c1.4.3">1.4.3. シグネチャの作成</a></dd> <dd><a href="#c1.4.4">1.4.4. ウイルスデータベース更新のお知らせ</a></dd> </dl> </dd> </dl> </dd> <dd><a href="#c2">2. インストール</a> <dl> <dd><a href="#c2.1">2.1. Clam Antivirusの入手</a></dd> <dd><a href="#c2.2">2.2. 必要なもの</a></dd> <dd><a href="#c2.3">2.3. clamavユーザ/グループの作成</a></dd> <dd><a href="#c2.4">2.4. インストール</a></dd> </dl> </dd> <dd><a href="#c3">3. ウイルスデータベースの更新</a> <dl> <dd><a href="#c3.1">3.1. データベースの構成</a></dd> <dd><a href="#c3.2">3.2. freshclam</a> <dl> <dd><a href="#c3.2.1">3.2.1. freshclam実行例</a></dd> <dd><a href="#c3.2.2">3.2.2. freshclamのオプション</a></dd> <dd><a href="#c3.2.3">3.2.3. cronで自動更新</a></dd> <dd><a href="#c3.2.4">3.2.4. デーモンとして実行</a></dd> <dd><a href="#c3.2.5">3.2.5. 注意点</a></dd> <dd><a href="#c3.2.6">3.2.6. freshclamの戻り値</a></dd> </dl> </dd> </dl> </dd> <dd><a href="#c4">4. ウイルスの検出</a> <dl> <dd><a href="#c4.1">4.1. clamscan</a> <dl> <dd><a href="#c4.1.1">4.1.1. clamscanのオプション</a></dd> <dd><a href="#c4.1.2">4.1.2. clamscanの実行例</a></dd> <dd><a href="#c4.1.3">4.1.3. clamscanの戻り値</a></dd> </dl> </dd> <dd><a href="#c4.2">4.2. clamd</a> <dl> <dd><a href="#c4.2.1">4.2.1. clamd</a></dd> <dd><a href="#c4.2.2">4.2.2. clamav.confの設定</a></dd> <dd><a href="#c4.2.3">4.2.3. clamdの実行例</a></dd> <dd><a href="#c4.2.4">4.2.4. clamdとの通信</a></dd> <dd><a href="#c4.2.5">4.2.5. clamdscan</a></dd> <dd><a href="#c4.2.6">4.2.6. clamdscanのオプション</a></dd> <dd><a href="#c4.2.7">4.2.7. clamdscanの戻り値</a></dd> </dl> </dd> <dd><a href="#c4.3">4.3. Dazuko+Clamuko</a> <dl> <dd><a href="#c4.3.1">4.3.1. Dazuko</a></dd> <dd><a href="#c4.3.2">4.3.2. Clamuko</a></dd> </dl> </dd> </dl> </dd> <dd><a href="#c5">5. ClamAV関連のソフト</a> <dl> <dd><a href="#c5.1">5.1. MTA</a> <dl> <dd><a href="#c5.1.1">5.1.1. AMaViS/amavisd</a></dd> <dd><a href="#c5.1.2">5.1.2. AMaViS-ng</a></dd> <dd><a href="#c5.1.3">5.1.3. amavisd-new</a></dd> <dd><a href="#c5.1.4">5.1.4. mailscanner</a></dd> <dd><a href="#c5.1.6">5.1.6. OpenProtect</a></dd> <dd><a href="#c5.1.7">5.1.7. clamav-milter</a></dd> <dd><a href="#c5.1.8">5.1.8. mimedefang</a></dd> <dd><a href="#c5.1.9">5.1.9. IVS Milter</a></dd> <dd><a href="#c5.1.10">5.1.10. smtp-vilter</a></dd> <dd><a href="#c5.1.11">5.1.11. j-chkmail</a></dd> <dd><a href="#c5.1.12">5.1.12. nclamd,nclamav-milter</a></dd> <dd><a href="#c5.1.13">5.1.13. qmail-scanner</a></dd> <dd><a href="#c5.1.14">5.1.14. clamdmail</a></dd> <dd><a href="#c5.1.15">5.1.15. qscanq</a></dd> <dd><a href="#c5.1.16">5.1.16. Gadoyanvirus</a></dd> <dd><a href="#c5.1.17">5.1.17. exiscan</a></dd> <dd><a href="#c5.1.18">5.1.18. scanexi</a></dd> <dd><a href="#c5.1.19">5.1.19. sagator</a></dd> <dd><a href="#c5.1.20">5.1.20. cgpav</a></dd> </dl> </dd> <dd><a href="#c5.2">5.2. MUA周辺</a> <dl> <dd><a href="#c5.2.1">5.2.1. POP3 Virus Scanner Daemon</a></dd> <dd><a href="#c5.2.2">5.2.2. Sylpheed-Claws</a></dd> <dd><a href="#c5.2.3">5.2.3. Mutt</a></dd> </dl> </dd> <dd><a href="#c5.3">5.3. その他メール関連</a> <dl> <dd><a href="#c5.3.1">5.3.1. ClamAssassin</a></dd> <dd><a href="#c5.3.2">5.3.2. trashscan</a></dd> <dd><a href="#c5.3.3">5.3.3. mailman-clamav</a></dd> <dd><a href="#c5.3.4">5.3.4. mailgraph</a></dd> </dl> </dd> <dd><a href="#c5.4">5.4. その他のサーバ</a> <dl> <dd><a href="#c5.4.1">5.4.1. samba-vscan</a></dd> <dd><a href="#c5.4.2">5.4.2. mod_clamav</a></dd> <dd><a href="#c5.4.3">5.4.3. PureFTPd</a></dd> <dd><a href="#c5.4.4">5.4.4. Viralator</a></dd> </dl> </dd> <dd><a href="#c5.5">5.5. CD-ROM</a> <dl> <dd><a href="#c5.5.1">5.5.1. INSERT</a></dd> <dd><a href="#c5.5.2">5.5.2. Local Area Security</a></dd> </dl> </dd> <dd><a href="#c5.6">5.6. その他</a> <dl> <dd><a href="#c5.6.1">5.6.1. Mail::ClamAV</a></dd> <dd><a href="#c5.6.2">5.6.2. clamavr</a></dd> <dd><a href="#c5.6.3">5.6.3. wbmclamav</a></dd> <dd><a href="#c5.6.4">5.6.4. Scan Log Analyzer</a></dd> <dd><a href="#c5.6.5">5.6.5. ClamWin Antivirus</a></dd> </dl> </dd> </dl> </dd> <dd><a href="#c6">6. シグネチャの管理・自作</a> <dl> <dd><a href="#c6.1">6.1. VirusDBの構造</a> <dl> <dd><a href="#c6.1.1">6.1.1. cvdファイルの書式</a></dd> <dd><a href="#c6.1.2">6.1.2. シグネチャの書式</a></dd> <dd><a href="#c6.1.3">6.1.3. VirusDBまとめ</a></dd> </dl> </dd> <dd><a href="#c6.2">6.2. sigtool</a> <dl> <dd><a href="#c6.2.1">6.2.1. sigtoolのオプション</a></dd> <dd><a href="#c6.2.2">6.2.2. sigtool実行例</a></dd> </dl> </dd> <dd><a href="#c6.3">6.3. シグネチャの自作・使用</a> <dl> <dd><a href="#c6.3.1">6.3.1. sigtoolによるシグネチャの作成</a></dd> <dd><a href="#c6.3.2">6.3.2. 手動でのシグネチャの作成</a></dd> <dd><a href="#c6.3.3">6.3.3. 自家製シグネチャの使用</a></dd> </dl> </dd> <dd><a href="#c6.4">6.4. Netsky.Q用のシグネチャ作成例</a> <dl> <dd><a href="#c6.4.1">6.4.1. シグネチャの自作こそがClamAVの醍醐味</a></dd> <dd><a href="#c6.4.2">6.4.2. 誰でも簡単に作成可能(責任はもちませんけど)</a></dd> <dd><a href="#c6.4.3">6.4.3. vimエディタで</a></dd> <dd><a href="#c6.4.4">6.4.4. 検出テスト</a></dd> <dd><a href="#c6.4.5">6.4.5. 自家製シグネチャの完成</a></dd> </dd> </dl> </dd> <dd><a href="#c7">7. 自作プログラムでclamavを利用する</a> <dl> <dd><a href="#c7.1">7.1. libclamav</a></dd> <dd><a href="#c7.2">7.2. clamdの利用</a></dd> </dl> </dd> <dd><a href="#c8">8. この文書について</a></dd> <dd><a href="#c9">9. TODO</a></dd> </dl></div> <div class="chapter" id="c1"><h2>1. Clam Antivirusについて</h2> <div class="section" id="c1.1"><h3>1.1. Clam Antivirusについて</h3> <p> Clam AntivirusはTomasz Kojmによる、LinuxやBSD、Mac OS Xなど各種UNIX系のシステムで動作するアンチウイルスソフトです。シグネチャによるパターンマッチング方式を採用していて、現在約20,700種類(2004年3月23日)のウイルスに対応しています。最も大きな特徴としてはGPLライセンスに従って利用することができるオープンソースのソフトウェアであるということがあります。 </p> </div> <div class="section" id="c1.2"><h3>1.2. Clam Antivirusについての情報</h3> <p> Clam Antivirusについての最新かつ正確な情報、ソースコードなどは<a href="http://www.clamav.net/">http://www.clamav.net/</a>にあります。 </p> <p> googleなどで検索するときは「clam antivirus」や「clamav」などのキーワードをもとにして探すとよいでしょう。 </p> </div> <div class="section" id="c1.3"><h3>1.3. ClamAVの能力</h3> <div class="section" id="c1.3.1"><h4>1.3.1. "in the wild"ウイルスへの対応</h4> <p> ウイルス対策ソフトが十分な品質を備えているかどうかを判断するには<a href="http://www.av-test.org/">AV-Test.org</a>や<a href="http://www.virusbtn.com/">Virus Bulletin</a>などの中立的な機関によって検査され、認められているかどうかが重要で、そのためにはITW(in the wild)ウイルスをほぼ完全に検出できることが重要です。 </p> <p> ITWウイルスは実際に世間に流通し感染の可能性があるとされるコンピュータウイルスのことで、<a href="http://www.wildlist.org/">WildList Organization</a>では世界中から実際に感染報告のあったウイルスを定期的にまとめています。 </p> <p> ClamAVは未だにこれらの中立的な機関によって公式に評価されていません。評価するまでもない、というのが現時点での評価だといえますが、それに近い方法で評価されたことはあります。 </p> <ul> <li> Fridrik SkulasonがITWウイルスを<a href="http://www.openantivirus.org/">OpenAntivirus</a>のVirusHammerで検出する実験を行い、その<a href="http://sourceforge.net/mailarchive/message.php?msg_id=2360675">結果が2002年10月29日に報告されました</a>。<br /> Fridrik Skulasonは実際には他の商用アンチウイルス製品の組織に属していたので中立な立場ではありませんが、この結果によるとVirusHammerが正しく検出できたのは197種類のウイルスに対して正しく検出できたのはそのうち36種類です。ClamAVのVirusDBはOpenAntivirusのものに由来があり、当時ClamAVとOpenAntivirusのVirusDBはほぼ同程度のウイルス(6,000〜7,000種類程度)に対応していたので、この実験結果はその当時のClamAVについてもほぼあてはまるといえるでしょう。 </li> <li> <a href="http://web.de/">web.de</a>が提供している無料メールサービスにClamAVが採用された件についてのドイツの<a href="http://www.heise.de/">Heise Online</a>の<a href="http://www.heise.de/newsticker/data/hob-04.12.03-000/">2003年12月4日の記事(ドイツ語)</a>(参考: <a href="http://www.mail-archive.com/clamav-users@lists.sourceforge.net/msg03634.html">英語訳</a>)の中で、 Heise Onlineが<a href="http://www.av-test.de/">av-test.de</a>のAndreas MarxにClamAVの評価を依頼しITW(in the wild)ウイルスに対してclamavの検査が行われ、716種類のウイルスのうち242種類、全体の33.8%がウイルスとして検出されたという結果が報告されています。検出されなかったウイルスの大半はマクロウイルスかpolymorphicウイルスであるということです。 </li> <li> ドイツのTUV Saarlandは2004年1月に<a href="http://web.de/">web.de</a>や<a href="http://www.gmx.de/">GMX</a>などの電子メールホスティングサービスで採用しているアンチウイルス製品について検査を行い、Wildlistのリストに基づいて選別した734個のITWウイルスのうちSymantec製品とSophos製品は100%をウイルスとして検出したが、ClamAVは399個(54.36%)にとどまったとしています(2004年2月24日付)。<br /> <dl><dt>参考:</dt> <dd><a href="http://www27.gmx.net/de/cgi/presse.cms?LANG=de&AREA=200402251">GMXによるプレスリリース</a>(ドイツ語)</dd> <dd><a href="http://www.sophos.co.jp/companyinfo/news/tuvaward.html">Sophosによるプレスリリース</a>(sophos.co.jp)</dd> <dd><a href="http://www.tekit.de/">www.tekit.de</a>(検査の詳細)</dd> </li> </ul> <p> ClamAVの作者Tomasz KojmはWildlist.orgについてこんなことを言っています。 </p> <blockquote cite="http://www.mail-archive.com/clamav-users@lists.sourceforge.net/msg07466.html"> <p>少なくともSymantecはWildList.orgのウイルスのサンプルの全てを入手できる。なぜなら、この「独立」の組織はとりわけSARC(Symantec AntiVirus Research Center、Symantecのウイルス研究所)のスタッフによって設立されているからだ。</p> <p>heise.deの不正な記事(この記事でheise.deはClamAVを採用したweb.deを批判している)が公開された後に、わたしたちはWildList.orgにコンタクトをとった(Sat, 06 Dec 2003 10:56:33 +0100)が、彼らからの返答は一切ない。</p> <p>個人的には、この試験(TUV Saarlandによるもの)は中立(independent)のものではないと思う。特に、SophosやSymantecが'100%'であることのほうにむしろ驚いている。なぜなら、わたしたちはこの二つの製品が検出できないウイルスのサンプルを(最近のものを含めて)たくさん所有しているからだ。いずれにしろ、ClamAVだけでなくWildList.orgやドイツの著名なアンチウイルス専門家たちも自身のITWコレクションを更新すべきだろう。</p> <cite><a href="http://www.mail-archive.com/clamav-users@lists.sourceforge.net/msg07466.html">Re: [Clamav-users] GMX Systematic Comparison</a>より引用・日本語訳・注釈</cite> </blockquote> <p> ということで、WildList.orgを絶対視することに懐疑的のようです。 </p> </div> <div class="section" id="c1.3.2"><h4>1.3.2. 新種のウイルスへの対応</h4> <p> ITWウイルスの検出能力の他に、新種のウイルスへの対応の早さはアンチウイルス製品の品質を評価するための重要な要素といえます。ClamAVプロジェクトではClamAVそのものの開発以外にシグネチャ開発のためのVirusDBチームがあり今のところ数名がそれに携わっています。現在では彼らの尽力と多くの人からの素早いウイルス提供により、新種のウイルスへの対応は他の商用製品と比べて遜色のないレベルにあるといってよいと思います(参考: <a href="http://archives.neohapsis.com/archives/postfix/2003-11/2029.html">Sophosとclamavとの比較</a>)。実際、2004年1月末頃に爆発的に流行したMyDoom.Aウイルス(ClamAVではSCO.A)のように、ClamAVが他の商用アンチウイルス製品に先んじて最も早く対応することも特に珍しいことではありません。 </p> <p> 課題として、VirusDBチームが欧米在住のメンバーで構成されていて東アジア・オセアニア在住の人間が今のところ参加していないので時間帯によってはむらができる可能性があることや、VirusDBチームの安定した組織としての運用を続けて実績を積む必要があるといったところでしょうか。 </p> <p> また、オープンソースですからVirusDBチームが対応する前に自前でシグネチャを作成して対応してしまえるという、商用製品にはない長所もあります。 </p> </div> <div class="section" id="c1.3.3"><h4>1.3.3. ウイルスの駆除・修復</h4> <p> ClamAVはウイルスに感染したファイルそのものを削除することはできますが、感染したファイルを修復して安全なものにすることはできません。 </p> </div> <div class="section" id="c1.3.4"><h4>1.3.4. どの程度使い物になるのか</h4> <p> アンチウイルスの分野においてオープンソースのソフトが遅れをとっている原因に、「プログラムを作ること自体は難しくはないが、次々と増えていくウイルスに対応するだけのコストをかけられないから」という意見を耳にしたことがありますが、実際には逆のようで、ClamAVの現状は「新種のウイルスへの対応の早さはいい線をいっているが、マクロウイルスやpolymorphicウイルス等への対応が遅れている」といったところでしょうか(マクロウイルスについてはバージョン0.70-rc以降から対応)。結論としてClamAVはまだまだ発展途上、商用製品と肩を並べるまでには至っていません。 </p> <p> で、ここから先は専門家でもないわたしの主観。clamav-0.11の頃から約2年間使っている感想では「かなり使える」とは思います。実際、予想外にウイルスを検出するので驚く人は多いはず。ITWウイルスの検出率は「種類」に対する率であって、そのウイルスに遭遇する頻度などを考慮するならもう少し数値は高くなるんじゃないかと思うので「まったく使いものにならない」というほどではないんじゃないかと。しかもだんだんと着実に良くなっているし。すでに商用製品を使用している場合でもClamAVを加えて二重にチェックさせるのは効果的な方法だと思います。でもバージョン0.70-rcから対応しているとはいえ、マクロウイルスにはまだまだ弱いし、polymorphicウイルス等、課題は多いし。彼らに偏見がないとは思わないけれど、ClamAVのことを「おもちゃ」と呼ぶアンチウイルス専門家はまだまだ多いです。 </p> </div> </div> <div class="section" id="c1.5"><h3>1.5. 未対応のウイルスに対応するまでの流れ</h3> <div class="section" id="c1.5.1"><h4>1.5.1. 未対応のウイルスを見かけたら</h4> <p> clamavで検出できないウイルスを見つけたら、念のためfreshclamコマンドでウイルスデータベースが最新であることを確かめてからもう一度clamscanコマンドを試してみましょう。 <a href="http://www.gietl.com/test-clamav/">Webでのオンラインスキャン</a>も可能です。 </p> </div> <div class="section" id="c1.5.2"><h4>1.5.2. VirusDBチームへウイルスを提供する</h4> <p> ウイルスのシグネチャを作るためには、対象になるウイルスが必要です。<a href="http://clamav.sourceforge.net/cgi-bin/sendvirus.cgi">ClamAV VirusDB submission</a>からウイルスを提供すると、VirusDBチームはそのウイルスをもとにシグネチャを作成できます。 </p> </div> <div class="section" id="c1.5.3"><h4>1.5.3. シグネチャの作成</h4> <p> ウイルスが提供されると、VirusDBチームはそのウイルスが本当にウイルスか、未対応のウイルスか、などを調べ、シグネチャを作成し、ウイルスデータベースに登録します。 </p> </div> <div class="section" id="c1.5.4"><h4>1.5.4. ウイルスデータベース更新のお知らせ</h4> <p> ウイルスデータベースを更新すると、VirusDBチームは<a href="http://www.clamav.net/ml.html">virusdbメーリングリスト</a>にメールで告知します。提供されたウイルスが実際にはウイルスではなかったり既に対応済みであった場合でも、このメーリングリストで告知されます。また、このメーリングリストのアーカイブを調べればどの頻度で更新されているか、などがわかります。 </p> </div> </div> </div> <div class="chapter" id="c2"><h2>2. インストール</h2> <div class="section" id="c2.1"><h3>2.1. Clam Antivirusの入手</h3> <p> ソースコードは<a href="http://www.clamav.net/">http://www.clamav.net/</a>から入手することができます。また、FreeBSDやOpenBSDではPortsを利用することができます。それから、Debian LinuxやVine Linux等、Linuxディストリビューションによってはバイナリパッケージが用意されている場合もあります。 </p> </div> <div class="section" id="c2.2"><h3>2.2. 必要なもの</h3> <p> バイナリパッケージを利用せずにソースからインストールする場合にはgccやmakeなどの開発環境とzlibが必要です。また、bzip2ライブラリはbzip2で圧縮されたファイルを検査するために、GNUmp(gmp)はVirusDBの電子署名を検証するためにそれぞれ必要とされますが必須ではありません。 </p> </div> <div class="section" id="c2.3"><h3>2.3. clamavユーザ/グループの作成</h3> <p> Clam Antivirusをインストールする前に'clamav'というユーザとグループを作成する必要があります。 </p> <ul> <li>LinuxやSolarisの例 <pre><code> # groupadd clamav # useradd -g clamav -s /bin/false -c "Clam Antivirus" clamav </code></pre> </li> <li>MacOSXの例(この例ではuidとgidを402として作成しています) <pre><code> $ echo 'clamav:*:402:Clam AntiVirus' | sudo niload group / $ echo 'clamav:*:402:402::0:0:Clam Antivirus:/tmp:/dev/null' | \ > sudo niload passwd / </code></pre> ※NetInfo Managerを使ってGUIで作成してもかまいません。 </li> </ul> </div> <div class="section" id="c2.4"><h3>2.4. インストール</h3> <p>他の一般的なソフトと同様の手順でインストールできます。</p> <pre><code> $ zcat clamav-0.xx.tar.gz | tar xvf - $ cd clamav-0.xx $ ./configure $ make $ sudo make install </code></pre> <p>インストール直後には必ずfreshclamコマンドを実行してウイルスデータベースを最新のものに更新しましょう。</p> <pre><code> $ sudo /usr/local/bin/freshclam </code></pre> </div> </div> <div class="chapter" id="c3"><h2>3. ウイルスデータベースの更新</h2> <div class="section" id="c3.1"><h3>3.1. データベースの構成</h3> <p> ウイルスデータベース関連のファイルは通常 (prefix)/share/clamav/ ディレクトリ内にあります。 </p> <dl> <dt>main.cvd</dt> <dd>ほとんどのウイルスのシグネチャを格納するファイル</dd> <dt>daily.cvd</dt> <dd>最近追加されたシグネチャを格納するファイル。ここに収録されたシグネチャはしばらく後にmain.cvdに移動されます。</dd> <dt>mirrors.txt</dt> <dd>freshclamでウイルスデータベースを更新する際に同期するサイトを設定するファイル。</dd> <dt>その他(*.db)</dt> <dd>ファイル名の末尾を.dbにすると、clamavはそのファイルからもウイルスのシグネチャを読み込みます。自作のシグネチャを登録する場合に使用します。</dd> </dl> </div> <div class="section" id="c3.2"><h3>3.2. freshclam</h3> <p>freshclamはウイルスデータベースをHTTP経由で最新の状態に更新します。</p> <div class="section" id="c3.2.1"><h4>3.2.1. freshclam実行例</h4> <dl> <dt># freshclam</dt> <dd>手動でアップデート</dd> <dt># freshclam -d -c 24</dt> <dd>デーモンとして実行し、1日に24回更新のチェックを行う</dd> </dl> </div> <div class="section" id="c3.2.2"><h4>3.2.2. freshclamのオプション</h4> <table class="cmdoption"> <tr> <th>--help</th><td class="opt">-h</td> <td>使い方を表示</td> </tr> <tr> <th>--version</th><td class="opt">-V</td> <td>バージョン情報を表示</td> </tr> <tr> <th>--verbose</th><td class="opt">-v</td> <td>出力を詳細にする</td> </tr> <tr> <th>--debug</th><td class="opt"> </td> <td>デバッグ情報を出力</td> </tr> <tr> <th>--quiet</th><td class="opt"> </td> <td>エラー情報のみ出力</td> </tr> <tr> <th>--stdout</th><td class="opt"> </td> <td>stderrではなくstdoutへ出力</td> </tr> <tr> <th>--log=FILE</th><td class="opt">-l FILE</td> <td>結果をファイルへ記録</td> </tr> <tr> <th>--log-verbose</th><td class="opt"> </td> <td>追加情報を結果報告に加える</td> </tr> <tr> <th>--config-file=FILE</th><td class="opt"> </td> <td>FILEから設定を読み込む</td> </tr> <tr> <th>--daemon</th><td class="opt">-d</td> <td>デーモンとして起動</td> </tr> <tr> <th>--pid=FILE</th><td class="opt">-p FILE</td> <td>デーモンプロセスのpidをFILEに記録</td> </tr> <tr> <th>--user=USER</th><td class="opt">-u USER</td> <td>USERの権限で実行</td> </tr> <tr> <th>--datadir=DIRECTORY</th><td class="opt"> </td> <td>VirusDBのディレクトリを指定</td> </tr> <tr> <th>--checks=#n</th><td class="opt">-c #n</td> <td>デーモンとして起動したときに1日あたりn回(1-50)更新する</td> </tr> <tr> <th>--daemon-notify[=/path/clamav.conf]</th><td class="opt"> </td> <td>VirusDBが更新されたときにclamdにRELOADコマンドを送る</td> </tr> <tr> <th>--http-proxy=hostname[:port]</th><td class="opt"> </td> <td>HTTPプロキシサーバを使用</td> </tr> <tr> <th>--proxy-user=user:password</th><td class="opt"> </td> <td>HTTPプロキシサーバを使用する場合にユーザ名とパスワードを指定</td> </tr> <tr> <th>--on-error-execute=COMMAND</th><td class="opt"> </td> <td>エラーが発生した場合にCOMMANDを実行</td> </tr> <tr> <th>--on-update-execute=COMMAND</th><td class="opt"> </td> <td>VirusDBを更新した場合にCOMMANDを実行</td> </tr> </table> </div> <div class="section" id="c3.2.3"><h4>3.2.3. cronで自動更新</h4> <ol> <li> ログファイルを作成 <pre><code> # touch /var/log/clam-update.log # chmod 644 /var/log/clam-update.log # chown clamav /var/log/clam-update.log </code></pre> </li> <li> /etc/crontab などに登録 <pre><code>34 * * * * clamav /usr/local/bin/freshclam --quiet -l /var/log/clam-update.log</code></pre> </li> </ol> </div> <div class="section" id="c3.2.4"><h4>3.2.4. デーモンとして実行</h4> <p> -dオプションと-cオプションをつけてfreshclamを起動します。この場合はfreshclam用の起動スクリプトを作成してシステムに登録しておいたほうがよいでしょう </p> </div> <div class="section" id="c3.2.5"><h4>3.2.5. 注意点</h4> <p> freshclamはclamavユーザ権限で動作するため、ログファイルなどにclamav権限でアクセスできるように調整する必要があります。 </p> </div> <div class="section" id="c3.2.6"><h4>3.2.6. freshclamの戻り値</h4> <table> <tr><th>0</th><td>VirusDBが正常に更新された</td></tr> <tr><th>1</th><td>VirusDBは既に最新のものなので更新されなかった</td></tr> <tr><th>その他</th><td>なんらかの原因でfreshclamは正常に実行されなかった</td></tr> </table> </div> </div> </div> <div class="chapter" id="c4"><h2>4. ウイルスの検出</h2> <div class="section" id="c4.1"><h3>4.1. clamscan</h3> <p>clamscanはウイルス検査を行うコマンドです。</p> <div class="section" id="c4.1.1"><h4>4.1.1. clamscanのオプション</h4> <ul> <li>出力等に関するオプション <table class="cmdoption"> <tr> <th>--help</th><td class="opt">-h</td> <td>使い方を表示</td> </tr> <tr> <th>--version</th><td class="opt">-V</td> <td>バージョン情報を表示</td> </tr> <tr> <th>--verbose</th><td class="opt">-v</td> <td>出力を詳細にする</td> </tr> <tr> <th>--debug</th><td class="opt"> </td> <td>デバッグ情報を出力</td> </tr> <tr> <th>--quiet</th><td class="opt"> </td> <td>エラー情報のみ出力</td> </tr> <tr> <th>--stdout</th><td class="opt"> </td> <td>stderrではなくstdoutへ出力</td> </tr> <tr> <th>--log=FILE</th><td class="opt">-l FILE</td> <td>結果をファイルへ記録</td> </tr> <tr> <th>--log-verbose</th><td class="opt"> </td> <td>追加情報を結果報告に加える</td> </tr> <tr> <th>--disable-summary</th><td class="opt"> </td> <td>summaryを出力しない</td> </tr> <tr> <th>--infected</th><td class="opt">-i</td> <td>ウイルスに感染したファイルのみを出力</td> </tr> <tr> <th>--bell</th><td class="opt"></td> <td>ウイルスを検出したらベルを鳴らす</td> </tr> </table> </li> <li>動作に関するオプション <table class="cmdoption"> <tr> <th>--tempdir=DIRECTORY</td><td class="opt"> </td> <td>一時ファイルを作成するディレクトリを指定</td> </tr> <tr> <th>--database=FILE/DIR</td><td class="opt">-d FILE/DIR</td> <td>VirusDBとして読み込むファイル(or ディレクトリ)を指定</td> </tr> <tr> <th>--recursive</td><td class="opt">-r</td> <td>サブディレクトリごと再帰的に検査。圧縮ファイルは再帰的に解凍して検査</td> </tr> <tr> <th>--exclude=PATT</td><td class="opt"> </td> <td>パターンにマッチするファイルを検査しない</td> </tr> <tr> <th>--include=PATT</td><td class="opt"> </td> <td>パターンにマッチするファイルのみを検査する</td> </tr> <tr> <th>--remove</td><td class="opt"> </td> <td>ウイルスに感染したファイルを削除する</td> </tr> <tr> <th>--move=DIRECTORY</td><td class="opt"> </td> <td>ウイルスに感染したファイルをDIRECTORYへ移動する</td> </tr> <tr> <th>--force</td><td class="opt"> </td> <td>エラーを無視して強制的に検査を行う</td> </tr> </table> </li> <li>ファイル形式に関するオプション <table class="cmdoption"> <tr> <th>--mbox</td><td class="opt">-m</td> <td>mbox形式、rfc(2)822形式のファイルを検査する</td> </tr> <tr> <th>--no-ole2</td><td class="opt"> </td> <td>OLE2機能を無効にする</td> </tr> <tr> <th>--no-archive</td><td class="opt"> </td> <td>圧縮されたファイルを解凍・展開しない</td> </tr> <tr> <th>--detect-encrypted</td><td class="opt"> </td> <td></td> </tr> <tr> <th>--max-files=#n</td><td class="opt"> </td> <td>圧縮されたファイルを解凍・展開する際のファイル数の上限</td> </tr> <tr> <th>--max-space=#n</td><td class="opt"> </td> <td>圧縮されたファイルを解凍・展開する際のファイルサイズの上限</td> </tr> <tr> <th>--max-recursion=#n</td><td class="opt"> </td> <td>圧縮されたファイルを再帰的に解凍・展開する際の最大深度</td> </tr> <tr> <th>--unzip=[FULLPATH]</td><td class="opt"> </td> <td>.zipファイルを解凍</td> </tr> <tr> <th>--unrar=[FULLPATH]</td><td class="opt"> </td> <td>.rarファイルを解凍</td> </tr> <tr> <th>--unace=[FULLPATH]</td><td class="opt"> </td> <td>.aceファイルを解凍</td> </tr> <tr> <th>--unarj=[FULLPATH]</td><td class="opt"> </td> <td>.arjファイルを解凍</td> </tr> <tr> <th>--unzoo=[FULLPATH]</td><td class="opt"> </td> <td>.zooファイルを解凍</td> </tr> <tr> <th>--lha=[FULLPATH]</td><td class="opt"> </td> <td>.lzhファイルを解凍</td> </tr> <tr> <th>--jar=[FULLPATH]</td><td class="opt"> </td> <td>unzipコマンドを使って.jarファイルを解凍</td> </tr> <tr> <th>--deb=[FULLPATH]</td><td class="opt"> </td> <td>arコマンドを使って.debファイルを解凍</td> </tr> <tr> <th>--tar=[FULLPATH]</td><td class="opt"> </td> <td>tarファイルを展開</td> </tr> <tr> <th>--tgz=[FULLPATH]</td><td class="opt"> </td> <td>GNU tarを使ってtar+gzipファイルを解凍・展開</td> </tr> </table> ※clamscanは上記のオプションなしでもzip/gzip/bzip2/rar(2.0)に対応している </li> </ul> </div> <div class="section" id="c4.1.2"><h4>4.1.2. clamscanの実行例</h4> <dl> <dt>$ clamscan <file></dt> <dd>ファイルを検査</dd> <dt>$ cat <file> | clamscan -</dt> <dd>標準入力のデータを検査</dd> <dt>$ clamscan</dt> <dd>現在のディレクトリにあるファイルを検査</dd> <dt>$ clamscan -r [<dir>]</dt> <dd>ディレクトリとサブディレクトリにあるファイルを再帰的に検査</dd> <dt># clamscan -r --mbox /var/spool/mail</dt> <dd>メールスプールを検査</dd> <dt>$ clamscan -d /tmp/newclamdb --max-space=50m -r /tmp</dt> <dd>/tmp/newclamdbからデータベースを読み込んでディスク使用量の上限を50MBとして検査</dd> </dl> </div> <div class="section" id="c4.1.3"><h4>4.1.3. clamscanの戻り値</h4> <p>単独のファイルを検査したときに限り、clamscanは以下のような戻り値を返す</p> <table> <tr><th>0</th><td>ウイルスは検出されなかった</td></tr> <tr><th>1</th><td>1つか複数のウイルスが検出された</td></tr> <tr><th>その他</th><td>なんらかの理由でclamscanが正常に実行されなかった</td></tr> </table> </div> </div> <div class="section" id="c4.2"><h3>4.2. clamd</h3> <div class="section" id="c4.2.1"><h4>4.2.1. clamd</h4> <p> clamdはサーバとして動作し、TCPまたはunixソケットを通じてクライアントと通信し、ウイルスを検査します。 </p> <p> clamscanはコマンドとして動作し、実行されるたびにウイルスデータベースを読みこみますが、clamdは最初に起動したときに一度ウイルスデータベースを読みこむだけなので、頻繁にウイルス検査を行うような用途の場合にはclamscanよりもclamdのほうが有利です。 </p> <p> 一方、clamdは起動時にのみウイルスデータベースを読みこむので、ウイルスデータベースが更新された場合にはclamdに再度読みこませる必要があります(最近のバージョンではclamdが定期的にウイルスデータベースの更新をチェックして自動で再読み込みするようです)。clamdの運用のためには起動スクリプトの設置やclamav.confファイルでの設定が必要になり、また、clamdプロセスにトラブルが発生してまともに動作しなくなった場合のケアが必要になるなど、clamdを使う場合にはclamscanと比べて管理が煩雑になります。 </p> </div> <div class="section" id="c4.2.2"><h4>4.2.2. clamav.confの設定</h4> <p> clamdを運用するためにはclamav.confファイルでの設定が必要です。clamav.confファイルの場所は一般的には/etc/clamav.confか/usr/local/etc/clamav.confですが、-cオプションで明示的に独自の設定ファイルを指定できます。 </p> <h5>基本的な設定項目</h5> <table class="config"> <tr><th>項目名</th><th>パラメータ</th><th>説明</th></tr> <tr> <th>Example</th><td> </td> <td>この項目が設定されている場合、clamdはすぐに終了する</td> </tr> <tr> <th>Foreground</th><td> </td> <td>backgroundではなくforegroundで稼動させる</td> </tr> <tr> <th>Debug</th><td> </td> <td>デバッグモードで稼動させる</td> </tr> <tr> <th>PidFile</th><td>PATH</td> <td>メインthreadのpidを指定したファイルに記録する (Default: 無効)</td> </tr> <tr> <th>DatabaseDirectory</th><td>PATH</td> <td>VirusDBファイル(main.cvd/daily.cvd/*.db等)のあるディレクトリを明示して指定</td> </tr> <tr> <th>SelfCheck</th><td>SECOND</td> <td>指定された間隔(秒)ごとにDataDirectory内のデータベースファイルの更新をチェックし、自動的に再読み込みを行う。 (Default: 3600)</td> </tr> <tr> <th>User</th><td>USERNAME</td> <td>root権限で起動した場合にはこのユーザ権限に移行する (Default: 無効)</td> </tr> <tr> <th>AllowSupplementaryGroups</th><td> </td> <td>root権限で起動しユーザ権限を移行する際にグループ権限も移行する</td> </tr> <tr> <th>TemporaryDirectory</th><td>PATH</td> <td>一時的な使い捨てファイルなどを作成するディレクトリを指定</td> </tr> <tr> <th>FixStaleSocket</th><td> </td> <td>前回にclamdが異常終了したなどが原因で残されたままになっているsocketファイルを除去する</td> </tr> <tr> <th>VirusEvent</th><td>COMMAND ...</td> <td>ウイルスが検出されたら指定したコマンドを実行する。コマンドの引数に%v(ウイルス名)と%f(感染したファイル名)を指定できるが、%fの取り扱いに注意しなければセキュリティ上の問題が発生するので使用しないこと</td> </tr> </table> <h5>サーバ・スレッド等の設定項目</h5> <table class="config"> <tr><th>項目名</th><th>パラメータ</th><th>説明</th></tr> <tr> <th>LocalSocket</th><td>PATH</td> <td>unixソケットでの通信を行う場合のscoketファイルの場所</td> </tr> <tr> <th>TCPAddr</th><td>IP</td> <td>TCPでの通信を行う場合のIPアドレス</td> </tr> <tr> <th>TCPSocket</th><td>NUMBER</td> <td>TCPでの通信を行う場合のポート番号</td> </tr> <tr> <th>MaxConnectionQueueLength</th><td>NUMBER</td> <td>listen(2)のbacklogの値 (Default: 15)</td> </tr> <tr> <th>MaxThreads</th><td>NUMBER</td> <td>同時に動くスレッドの数の上限 (Default: 5)</td> </tr> <tr> <th>ReadTimeout</th><td>NUMBER</td> <td>クライアント側からのアイドル時のタイムアウト時間(秒数) (Default: 120 | 0で無制限)</td> </tr> <tr> <th>StreamSaveToDisk</th><td> </td> <td>STREAMコマンドで送られたデータを一旦ディスクに記録してから検査する。STREAMコマンドにおいて圧縮ファイルへの対応のために必要</td> </tr> <tr> <th>StreamMaxLength</th><td>SIZE</td> <td>STREAMコマンドで送られるデータの容量の上限 (Default: 無制限)</td> </tr> <tr> <th>MaxDirectoryRecursion</th><td>NUMBER</td> <td>サブディレクトリを再帰的に検査する際の深度の上限 (Default: 無制限)</td> </tr> <tr> <th>FollowDirectorySymlinks</th><td> </td> <td>シンボリックリンクディレクトリの本体を検査の対象にする。この項目を有効にする場合にはMaxDirectoryRecursionの設定に注意すること</td> </tr> <tr> <th>FollowFileSymlinks</th><td> </td> <td>シンボリックリンクファイルの本体を検査の対象にする</td> </tr> </table> <h5>ログ間連の設定項目</h5> <table class="config"> <tr><th>項目名</th><th>パラメータ</th><th>説明</th></tr> <tr> <th>LogFile</th><td>PATH</td> <td>指定したファイルにログを記録する (Default: 無効)</td> </tr> <tr> <th>LogFileUnlock</th><td> </td> <td>LogFileで指定したログファイルをロックしない (Default: 無効)</td> </tr> <tr> <th>LogFileMaxSize</th><td>SIZE</td> <td>LogFileで指定したログファイルの容量の上限 (Default: 1M | 0で無制限)</td> </tr> <tr> <th>LogTime</th><td> </td> <td>日付と時刻をログの内容に加える (Default: 無効)</td> </tr> <tr> <th>LogSyslog</th><td> </td> <td>syslogへ出力する(LOCAL6)</td> </tr> <tr> <th>LogVerbose</th><td> </td> <td>詳細にログ出力</td> </tr> </table> <h5>ファイル形式に関する設定項目</h5> <table class="config"> <tr><th>項目名</th><th>パラメータ</th><th>説明</th></tr> <tr> <th>ScanOLE2</th><td> </td> <td>マクロウイルスに対応</td> </tr> <tr> <th>ScanMail</th><td> </td> <td>mbox/rfc(2)822形式に対応</td> </tr> <tr> <th>ScanArchive</th><td> </td> <td>圧縮ファイルに対応</td> </tr> <tr> <th>ScanRAR</th><td> </td> <td>内蔵RARエンジンで.rarに対応</td> </tr> <tr> <th>ArchiveBlockEncrypted</th><td> </td> <td>パスワード付きで圧縮されたzip/rarファイルを無条件でEncrypted.Zip/Encrypted.RARウイルスとして検出する</td> </tr> <tr> <th>ArchiveMaxFileSize</th><td>SIZE</td> <td>解凍・展開する圧縮ファイルの容量の上限 (Default: 10M | 0で無制限)</td> </tr> <tr> <th>ArchiveMaxRecursion</th><td>NUMBER</td> <td>再帰的に解凍・展開する際の深度の上限 (Default: 5 | 0で無制限)</td> </tr> <tr> <th>ArchiveMaxFiles</th><td>NUMBER</td> <td>解凍・展開する圧縮ファイルが内包するファイル数の上限 (Default: 1000 | 0で無制限)</td> </tr> <tr> <th>ArchiveMaxCompressionRatio</th><td>NUMBER</td> <td>解凍後の容量がこの比率より大きくなる場合はarchive bombsと判断し、Oversized.Zipウイルスとして検出する (Default: 200)</td> </tr> <tr> <th>ArchiveLimitMemoryUsage</th><td> </td> <td>メモリの節約とひきかえに解凍速度を遅くする (bzip2解凍のみに作用)</td> </tr> </table> <h5>Clamuko間連の設定項目</h5> <table class="config"> <tr><th>項目名</th><th>パラメータ</th><th>説明</th></tr> <tr> <th>ClamukoScanOnLine</th><td> </td> <td>Clamukoオンラインスキャンを有効にする。 Dazukoが正常に動作している必要がある。</td> </tr> <tr> <th>ClamukoScanOnOpen</th><td> </td> <td>ファイルをOpenする際に検査を実行</td> </tr> <tr> <th>ClamukoScanOnClose</th><td> </td> <td>ファイルをCloseする際に検査を実行</td> </tr> <tr> <th>ClamukoScanOnExec</th><td> </td> <td>ファイルを実行する際に検査を実行</td> </tr> <tr> <th>ClamukoIncludePath</th><td>PATH</td> <td>指定した領域を検査の対象にする (Clamukoを有効にする場合は必須)</td> </tr> <tr> <th>ClamukoExcludePath</th><td>PATH</td> <td>指定した領域を検査の対象から除外する</td> </tr> <tr> <th>ClamukoMaxFileSize</th><td>SIZE</td> <td>検査するファイルの容量の上限</td> </tr> <tr> <th>ClamukoScanArchive</th><td> </td> <td>圧縮ファイルを解凍・展開して検査を行う。 ScanArchiveとは独立して作用するが、 ArchiveMax*の制限の影響を受ける</td> </tr> </table> </div> <div class="section" id="c4.2.3"><h4>4.2.3. clamdの実行例</h4> <dl> <dt># clamd</dt> <dd>clamdを起動します</dd> <dt># clamd -c /home/clamav/clamav.conf</dt> <dd>clamdを起動し/home/clamav/clamav.confの設定を使用します</dd> <dt># clamd --debug</dt> <dd>デバッグモードで起動します</dd> <dt># kill (clamdのpid)</dt> <dd>clamdを終了します</dd> <dt># kill -HUP (clamdのpid)</dt> <dd>clamav.confの設定の変更をclamdに適用させます</dd> <dt># kill -USR2 (clamdのpid)</dt> <dd>clamdにVirusDBを再読み込みさせます</dd> </dl> </div> <div class="section" id="c4.2.4"><h4>4.2.4. clamdとの通信</h4> <h5>コマンド一覧</h5> <table> <tr> <th>PING</th> <td>サーバが正常に稼動していれば"PONG"を返します</td> </tr> <tr> <th>VERSION</th> <td>バージョン情報を返します</td> </tr> <tr> <th>RELOAD</th> <td>VirusDBを再読み込みします</td> </tr> <tr> <th>SHUTDOWN</th> <td>clamdプロセスを終了させます</td> </tr> <tr> <th>SCAN <PATH></th> <td>指定した場所のファイルやディレクトリを(再帰的に)検査させます。clamav.confの設定で無効になっていなければ圧縮ファイルを解凍・展開して検査します。</td> </tr> <tr> <th>RAWSCAN <PATH></th> <td>指定した場所のファイルやディレクトリを(再帰的に)検査させます。圧縮ファイルの解凍・展開は行いません。</td> </tr> <tr> <th>CONTSCAN <PATH></th> <td>指定した場所のファイルやディレクトリを(再帰的に)検査させます。clamav.confの設定で無効になっていなければ圧縮ファイルを解凍・展開して検査します。また、ウイルスが途中で検出されてもそこで停止せずに最後まで検査を続行します。</td> </tr> <tr> <th>STREAM</th> <td>サーバは"PORT 番号"を返します。クライアントはこの後サーバのこのポート番号へデータを送信して検査します。FTPプロトコルのPORTコマンドのようなもの。</td> </tr> <tr> <th>SESSION/END</th> <td>SESSIONコマンドで、1つのセッション内で複数のコマンドを実行できるようになります。セッションを終了するにはENDコマンドを送ります。</td> </tr> </table> <h5>clamdとの通信の例</h5> <p>telnetコマンドを使うと雰囲気がつかみやすいと思います。</p> <ul><li>PINGコマンド <pre><code> $ telnet localhost 3310 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. PING PONG Connection closed by foreign host. </code></pre> </li> <li>RELOADコマンドでVirusDBを再読み込み <pre><code> $ telnet localhost 3310 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. RELOAD RELOADING Connection closed by foreign host. </code></pre> </li> <li>SCANコマンドによるウイルス検査 <pre><code> $ telnet localhost 3310 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. SCAN /tmp/virus /tmp/virus/bugbear.virus: W32.BugBear.A FOUND Connection closed by foreign host. </code></pre> </li> <li>CONTSCANコマンドによるウイルス検査 <pre><code> $ telnet localhost 3310 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. CONTSCAN /tmp/virus /tmp/virus/bugbear.virus: W32.BugBear.A FOUND /tmp/virus/klez.virus: Worm.Klez.H FOUND /tmp/virus/clamav.test: ClamAV-Test-Signature FOUND /tmp/virus/mydoom.virus: Worm.SCO.A FOUND /tmp/virus/netsky_q.virus: Worm.SomeFool.Q FOUND Connection closed by foreign host. </code></pre> </li></ul> </div> <div class="section" id="c4.2.5"><h4>4.2.5. clamdscan</h4> <p> clamscanは起動するたびにVirusDBを解凍・展開し、それを読み込んでから検査を行います。VirusDBの本体main.cvdは圧縮時でも約1MBはあるので、例えば1秒に何件ものメールをさばくようなサーバで検査したり、fetchmail+procmailで一度に1000件ほどのメールを受信して検査するような場合には1件のメールごとにclamscanを起動していたのでは速度や負荷の面で問題が発生するのは十分に想像されることです。 </p> <p> clamdscanはclamscanと同様のインターフェースを持ち、clamdのクライアントとしてウイルスを検査するコマンドです。clamdscan+clamdでclamscanの全ての機能を置き換えることはできませんが、ほとんどの場合重すぎるclamscanを簡単にすぐに置き換えることが出来ます。 </p> </div> <div class="section" id="c4.2.6"><h4>4.2.6. clamdscanのオプション</h4> <p>clamdscanはclamscanとほぼ共通のオプションを使用しますが、clamscanでは使えるもののclamdcanでは対応していないオプションを指定した場合でもエラー等を出力せず(また何も機能せずに)そのまま実行します。</p> <table class="cmdoption"> <tr> <th>--help</th><td class="opt">-h</td> <td>使い方を表示</td> </tr> <tr> <th>--version</th><td class="opt">-V</td> <td>バージョンを表示</td> </tr> <tr> <th>--verbose</th><td class="opt">-v</td> <td>詳細に出力</td> </tr> <tr> <th>--quiet</th><td class="opt"> </td> <td>エラーのみを出力</td> </tr> <tr> <th>--stdout</th><td class="opt"> </td> <td>stderrではなくstdoutに出力</td> </tr> <tr> <th>--log=FILE</th><td class="opt">-l FILE</td> <td>FILEにログを記録する</td> </tr> <tr> <th>--log-verbose</th><td class="opt"> </td> <td>詳細なログ出力</td> </tr> <tr> <th>--disable-summary</th><td class="opt"> </td> <td>summary表示をしない</td> </tr> <tr> <th>--config-file=FILE</th><td class="opt"> </td> <td>設定として読み込むclamav.confを明示する。clamdscanはclamdと同じclamav.confを使用する必要がある</td> </tr> </table> </div> <div class="section" id="c4.2.7"><h4>4.2.7. clamdscanの戻り値</h4> <p>clamdscanの戻り値は基本的にはclamscanと同じになります。</p> <table> <tr><th>0</th><td>ウイルスは検出されなかった</td></tr> <tr><th>1</th><td>1つか複数のウイルスが検出された</td></tr> <tr><th>2</th><td>Errorが発生した</td></tr> </table> </div> </div> <div class="section" id="c4.3"><h3>4.3. Dazuko+Clamuko</h3> <div class="section" id="c4.3.1"><h4>4.3.1. Dazuko</h4> <p> <a href="http://www.dazuko.org/">Dazuko</a>はLinuxおよびFreeBSD対応のカーネルモジュールで、アンチウイルスツールとの組み合わせでファイルシステムへのアクセスを監視してウイルスから利用者を保護します。ただしNFS経由でのアクセスには対応していません。 </p> </div> <div class="section" id="c4.3.2"><h4>4.3.2. Clamuko</h4> <p> Clamukoはclamdのもう一つの機能でclamavのDazukoとの組み合わせでの使用を可能にします。 </p> <p> Clamukoを使用するにはclamav.confでいくつかの項目を設定する必要があります。 </p> <ul> <li>/homeをClamuko+Dazukoで保護する場合 <pre><code> ClamukoIncludePath /home </code></pre> </li> <li>システム全体をClamuko+Dazukoで保護する場合 <pre><code> ClamukoIncludePath / ClamukoExcludePath /proc ClamukoExcludePath /tempdir/of/mail/scanner </code></pre> </li> </ul> </div> </div> </div> <div class="chapter" id="c5"><h2>5. ClamAV関連のソフト</h2> <p> ClamAVに対応、あるいは組み合わせて使用できる主なツールの一部です。 </p> <div class="section" id="c5.1"><h3>5.1. MTA</h3> <div class="section" id="c5.1.1"><h4>5.1.1. AMaViS/amavisd</h4> <p> <a href="http://www.amavis.org/">AMaViSとamavisd</a>はsendmailやpostfixやqmailなどのMTAとウイルススキャナを組み合わせて利用するためのインターフェースとして機能します。 </p> </div> <div class="section" id="c5.1.2"><h4>5.1.2. AMaViS-ng</h4> <p> <a href="http://sourceforge.net/projects/amavis">AMaViS-ng</a>はHilko BengenがAMaViSを書き直したものです。 </p> <ol> <li>インストール後にamavis.confを編集して次の行のコメントを解除します。 <pre><code> virus-scanner = CLAM </code></pre> </li> <li>amavis.confの[CLAM]セクションにclamscanのpathを設定します。 <pre><code> [CLAM] clamscan = /usr/local/bin/clamscan </code></pre> </li> </ol> </div> <div class="section" id="c5.1.3"><h4>5.1.3. amavisd-new</h4> <p> <a href="http://www.ijs.si/software/amavisd/">amavisd-new</a>は、amavisdをもとにMark Martinecが書き直し、パフォーマンスの向上とSpamAssassinによるanti-spam機能を加えたものですが、anti-spamとanti-virusのどちらかを外して使用することもできます。他の商用アンチウイルス製品とclamavとを共用で2重に検査したり、また通常はclamdを使いclamdに問題が発生したときにはclamscanを代わりに使用して対処する、といったこともできます。amavisd.confを編集し、@av_scannersの項目でclamdを有効にして使います。 </p> </div> <div class="section" id="c5.1.4"><h4>5.1.4. MailScanner</h4> <p> <a href="http://www.mailscanner.info/">MailScanner</a>は、各種MTAとanti-virusおよびanti-spamプログラムとを組み合わせて使用しますが、Postfixとの組み合わせは推奨されていません。 </p> </div> <div class="section" id="c5.1.6"><h4>5.1.6. OpenProtect</h4> </div> <div class="section" id="c5.1.7"><h4>5.1.7. clamav-milter</h4> <p> ClamAVのclamav-milter機能を利用すればSendmail milterと連携してウイルス検査を行うことができます。 </p> <p> clamav-milterを使用するにはClamAVを次のようにconfigureを実行してコンパイル・インストールします。 </p> <pre><code> $ ./configure --enable-milter </code></pre> <p> インストールが終わったらsendmail.mcに次のように記述して設定します。 </p> <pre><code> INPUT_MAIL_FILTER(‘clmilter’,‘S=local:/var/run/clmilter.sock, F=, T=S:4m;R:4m’)dnl define(‘confINPUT_MAIL_FILTERS’, ‘clmilter’) </code></pre> <p> それから、clamav.confの設定が次のようになっているのを確認してから </p> <pre><code> LocalSocket /var/run/clamd.sock ScanMail SaveStreamToDisk </code></pre> <p> clamav-milterを起動します。 </p> <pre><code> /usr/local/sbin/clamav-milter -blo /var/run/clmilter.sock </code></pre> <p> 最後にsendmailを再起動します。 </p> </div> <div class="section" id="c5.1.8"><h4>5.1.8. mimedefang</h4> <p> <a href="http://www.roaringpenguin.com/mimedefang/">MIMEDefang</a>は、Sendmailとanti-virusおよびanti-spamプログラムとを組み合わせて使用します。 </p> </div> <div class="section" id="c5.1.9"><h4>5.1.9. IVS Milter</h4> <p> <a href="http://ivs-milter.lbsd.net">IVS Milter</a> (Industrial Virus + Spam milter)は、Sendmail milterでClamAV(clamd)等のアンチウイルスソフトやSpamAssassin(spamd)によるメールのフィルタリングのためのソフトです。 </p> </div> <div class="section" id="c5.1.10"><h4>5.1.10. smtp-vilter</h4> <p> <a href="http://www.etc.msys.ch/software/smtp-vilter">smtp-vilter</a>は、Sendmail milterでClamAV(clamd)とSpamAssassin(spamc or libspamc)によるメールのフィルタリングのためのソフトです。 </p> </div> <div class="section" id="c5.1.11"><h4>5.1.11. j-chkmail</h4> </div> <div class="section" id="c5.1.12"><h4>5.1.12. nclamd,nclamav-milter</h4> <p> <a href="http://www.kyzo.com/nclamd/">nclamd</a>とnclamav-milter、nclamdscanは本家のclamd,clamav-milter,clamdscanを置き換えるソフトで、thread主義のClamAVに対してApache2のpreforkのように動作し、ClamAVが内蔵のMIME解析ルーチンを使うのに対してripMIMEを使用します。 </p> </div> <div class="section" id="c5.1.13"><h4>5.1.13. qmail-scanner</h4> <p> <a href="http://qmail-scanner.sourceforge.net/">Qmail-Scanner</a>はqmailとウイルススキャナを組み合わせて使用します。softlimitの値を多めに設定して使用するほうがよいらしい。 </p> </div> <div class="section" id="c5.1.14"><h4>5.1.14. clamdmail</h4> <p> <a href="http://clamdmail.sourceforge.net/">Clamdmail</a>はqmailをはじめとする各種MTAとclamdとを組み合わせてウイルススキャンを実現します。 </p> </div> <div class="section" id="c5.1.15"><h4>5.1.15. qscanq</h4> </div> <div class="section" id="c5.1.16"><h4>5.1.16. Gadoyanvirus</h4> </div> <div class="section" id="c5.1.17"><h4>5.1.17. exiscan</h4> <p> <a href="http://duncanthrax.net/exiscan/">exiscan</a>はExim 4に対するパッチで、content scanning 機能をEximに追加します。 </p> </div> <div class="section" id="c5.1.18"><h4>5.1.18. Scanexi</h4> <p> <a href="http://w1.231.telia.com/~u23107873/scanexi.html">Scanexi</a>はexiscanをベースにしてできたもので、EximでClamAVとSpamassassinによるアンチウイルス/アンチスパムの機能を実現します。 </p> </div> <div class="section" id="c5.1.19"><h4>5.1.19. sagator</h4> <p> <a href="http://www.salstar.sk/sagator">sagator</a>はPythonで書かれていて、Postfix等のMTAとclamavやSpamAssassin等とを組み合わせて使用します。 </p> </div> <div class="section" id="c5.1.20"><h4>5.1.20. cgpav</h4> </div> </div> <div class="section" id="c5.2"><h3>5.2. MUA周辺</h3> <div class="section" id="c5.2.1"><h4>5.2.1. POP3 Virus Scanner Daemon</h4> </div> <div class="section" id="c5.2.2"><h4>5.2.2. Sylpheed-Claws</h4> <p> <a href="http://sylpheed-claws.sourceforge.net/">Sylpheed-Claws</a>はいわゆる3ペインの電子メールソフトです。プラグインによってclamavの機能を使えるようです。 </p> </div> <div class="section" id="c5.2.3"><h4>5.2.3. Mutt</h4> <p> <a href="http://www.mutt.org/">Mutt</a>はテキストベースの電子メールクライアントソフトです。Mutt自体にアンチウイルス機能はありませんが、添付ファイルごとにパイプでclamscanに検査させることはできます。 </p> </div> </div> <div class="section" id="c5.3"><h3>5.3. その他メール関連</h3> <div class="section" id="c5.3.1"><h4>5.3.1. ClamAssassin</h4> </div> <div class="section" id="c5.3.2"><h4>5.3.2. TrashScan</h4> <p> TrashScanはclamav-x.xx/contrib/trashscan/ に収録されている簡単なbashスクリプトで、procmailとclamscanとの組み合わせでウイルススキャンを実現します。 </p> </div> <div class="section" id="c5.3.3"><h4>5.3.3. mailman-clamav</h4> </div> <div class="section" id="c5.3.4"><h4>5.3.4. mailgraph</h4> </div> </div> <div class="section" id="c5.4"><h3>5.4. その他のサーバ</h3> <div class="section" id="c5.4.1"><h4>5.4.1. sambaa-vscan</h4> <p> <a href="http://www.openantivirus.org/projects.php#samba-vscan">sambaa-vscan</a>はOpenAntiVirusプロジェクトによるソフトの一つで、SambaのVFSモジュールとしてファイルサーバでのアンチウイルス機能を可能にします。 </p> </div> <div class="section" id="c5.4.2"><h4>5.4.2. mod_clamav</h4> <p> <a href="http://software.othello.ch/mod_clamav/">mod_clamav</a>はApache2のモジュールです。mod_proxyとの組み合わせでプロキシサーバにアンチウイルス機能を組み込むことが可能です。 </p> </div> <div class="section" id="c5.4.3"><h4>5.4.3. PureFTPd</h4> <p> <a href="http://www.pureftpd.org/">PureFTPd</a>にはuploadscript機能があり、clamscan等と組み合わせて、アップロードされたファイルをウイルススキャンすることができます。 </p> </div> <div class="section" id="c5.4.4"><h4>5.4.4. Viralator</h4> <p> <a href="http://viralator.sourceforge.net/">Viralator</a>はSquidと各種アンチウイルスソフトとの組み合わせでsquidプロキシサーバでのアンチウイルス機能を可能にします。 </p> </div> </div> <div class="section" id="c5.5"><h3>5.5. CD-ROM</h3> <div class="section" id="c5.5.1"><h4>5.5.1. INSERT</h4> </div> <div class="section" id="c5.5.2"><h4>5.5.2. Local Area Security</h4> </div> </div> <div class="section" id="c5.6"><h3>5.6. その他</h3> <div class="section" id="c5.6.1"><h4>5.6.1. Mail::ClamAV</h4> <p> <a href="http://cpan.gossamer-threads.com/modules/by-authors/id/S/SA/SABECK/">Mail::ClamAV</a>はPerlの拡張モジュールで、このモジュールを使えばPerlスクリプトでウイルススキャンを実装できます。 </p> </div> <div class="section" id="c5.6.2"><h4>5.6.2. clamavr</h4> </div> <div class="section" id="c5.6.3"><h4>5.6.3. wbmclamav</h4> </div> <div class="section" id="c5.6.4"><h4>5.6.4. Scan Log Analyzer</h4> </div> <div class="section" id="c5.6.5"><h4>5.6.5. ClamWin Antivirus</h4> <p> <a href="http://clamwin.sourceforge.net/">ClamWin Antivirus</a>はClamAVのWindows版バイナリ+GUIインターフェースで、UnixになじみのないWindows利用者でも簡単に使用できます。 </p> </div> </div> </div> <div class="chapter" id="c6"><h2>6. シグネチャの管理・自作</h2> <div class="section" id="c6.1"><h3>6.1. VirusDBの構造</h3> <div class="section" id="c6.1.1"><h4>6.1.1. cvdファイルの書式</h4> <p> VirusDBは基本的にmain.cvdとdaily.cvdの2つですが、これらのcvdファイルは固定長(512バイト)のヘッダ部分+可変長のデータ部分とで構成されています。 </p> <p> データ部分はシグネチャ本体(viruses.db,viruses.db2)とGPL2で配布されていることをしめすCOPYINGの2つをtar+gzでまとめたものです。 </p> <p> ヘッダ部分はフィールドごとにコロン(":")で区切られていて、余白は空白文字(0x20)で埋められます。 </p> <h5>ヘッダ部分のフィールド一覧</h5> <ol> <li>「ClamAV-VDB」という文字列</li> <li>作成日時</li> <li>バージョン</li> <li>収録シグネチャ数</li> <li>収録シグネチャ使用に必要な機能レベル</li> <li>データ部分のMD5チェックサム値</li> <li>電子署名</li> <li>作成者名</li> </ol> <h5>ヘッダ部分の例</h5> <pre><samp>ClamAV-VDB:15 Apr 2004 01-38 +0200:263:844:1:ed0bf80996eef5326e7830cb7 f394f13:FSW1coiymNODboGDmmeg5gNm6psCuAOCTsm4gXEqMP8k9H7H/QPfZvvvMPQTup 0sf2LtrRImxkgYvR6ksiS/Zal8QdhiPS6LuHBBbjuzHYW+PLIwuG5Hzd0tj2p4mhiwv2Eb Q2agcPH6n5xekRLOIDb3qggf+6F9YwDw8JX6nj:ccordes </samp></pre> </div> <div class="section" id="c6.1.2"><h4>6.1.2. シグネチャの書式</h4> <p> ウイルスデータベースにはウイルスを検出するためのシグネチャが格納されています。viruses.dbやviruses.db2を見てください。1行ごとにシグネチャ1つという構成で「ウイルス名=文字列」という書式になっています。 </p> <p> 右辺の文字列はウイルス固有のパターンをhexdumpしたものですが、「*」(任意の文字列に一致)と「??」(任意の1バイトに一致)のように簡単な正規表現を使うことができます。 </p> <p>Clamav用のテスト用ウイルスClamAV-Test-Signatureを例にしてみます。このウイルスのシグネチャは以下のとおりです。</p> <pre><code>ClamAV-Test-Signature=2443456c6961636d615472455354755363696b67736e2446 5245452d544553542d5349474e4154555245244545454545240a </code></pre> <p>ClamAV-Test-Signatureをhexdumpした結果と比較してみてください。</p> <pre><code>0000000 24 43 45 6c 69 61 63 6d 61 54 72 45 53 54 75 53 0000020 63 69 6b 67 73 6e 24 46 52 45 45 2d 54 45 53 54 0000040 2d 53 49 47 4e 41 54 55 52 45 24 45 45 45 45 45 0000060 24 0a 0000062 </code></pre> <p> </p> </div> <div class="section" id="c6.1.3"><h4>6.1.3. VirusDBまとめ</h4> <pre><code> VirusDB + main.cvd (本体) | + ヘッダ部分(512byte固定長) | | + 'ClamAV-VDB' | | + 作成日時 | | + CVDのバージョン | | + 収録シグネチャ数 | | + 収録シグネチャの使用に必要な機能レベル | | + データ部分のMD5チェックサム値 | | + 電子署名 | | + 作成者名 | | | + データ部分(tarball) | + COPYING | + viruses.db | + VirusName=HexStrings | + daily.cvd (日々更新される) | + ヘッダ部分(512byte固定長) | | + 'ClamAV-VDB' | | + 作成日時 | | + CVDのバージョン | | + 収録シグネチャ数 | | + 収録シグネチャの使用に必要な機能レベル | | + データ部分のMD5チェックサム値 | | + 電子署名 | | + 作成者名 | | | + データ部分(tarball) | + COPYING | + viruses.db2 | + VirusName=HexStrings | + *.db (local側などで独自に登録) + VirusName=HexStrings </code></pre> </div> </div> <div class="section" id="c6.2"><h3>6.2. sigtool</h3> <p>sigtoolは大まかにわけてウイルスからシグネチャを生成するのを補助する機能とVirusDBを取り扱う機能の2つの機能を持っています。</p> <div class="section" id="c6.2.1"><h4>6.2.1. sigtoolのオプション</h4> <h5>基本的なもの</h5> <table class="cmdoption"> <tr> <th>--help</th><td class="opt">-h</td> <td>使い方を表示</td> </tr> <tr> <th>--version</th><td class="opt">-V</td> <td>バージョン情報を表示</td> </tr> <tr> <th>--quiet</th><td class="opt"> </td> <td>エラーのみを出力</td> </tr> <tr> <th>--debug</th><td class="opt"> </td> <td>デバッグ情報を出力</td> </tr> <tr> <th>--stdout</th><td class="opt"> </td> <td>stderrではなくstdoutへ出力</td> </tr> </table> <h5>シグネチャ生成補助</h5> <table class="cmdoption"> <tr> <th>--hex-dump</th><td class="opt"> </td> <td>標準入力から受け取ったデータをhex stringとして出力</td> </tr> <tr> <th>--command=COMMAND</th><td class="opt">-c COMMAND</td> <td>ウイルス検査コマンドを指定</td> </tr> <tr> <th>--string=STRING</th><td class="opt">-s STRING</td> <td>ウイルス検出時にコマンドが出力する文字列を指定</td> </tr> <tr> <th>--file=FILE</th><td class="opt">-f FILE</td> <td>ウイルスに感染しているファイルを指定</td> </tr> </table> <h5>VirusDB</h5> <table class="cmdoption"> <tr> <th>--info=FILE</th><td class="opt">-i FILE</td> <td>CVDファイルの情報を表示</td> </tr> <tr> <th>--unpack=FILE</th><td class="opt">-u FILE</td> <td>CVDファイルを解凍・展開する</td> </tr> <tr> <th>--unpack-current=NAME</th><td class="opt"> </td> <td>現在使用しているCVDファイルを解凍・展開する</td> </tr> <tr> <th>--list-sigs[=FILE]</th><td class="opt">-l [FILE]</td> <td>シグネチャに登録されているウイルス名一覧を表示</td> </tr> <tr> <th>--build=NAME</th><td class="opt">-b NAME</td> <td>CVDファイルを作成 (VirusDB開発者用のオプション)</td> </tr> <tr> <th>--server=ADDR</th><td class="opt"> </td> <td>ClamAV 電子署名サーバを指定 (VirusDB開発者用のオプション)</td> </tr> </table> </div> <div class="section" id="c6.2.2"><h4>6.2.2. sigtool実行例</h4> <dl> <dt>$ sigtool -i /usr/local/share/clamav/main.cvd</dt> <dd>main.cvdの情報を表示</dd> <dt>$ sigtool -u /usr/local/share/clamav/main.cvd</dt> <dd>main.cvdからシグネチャファイルを取り出す</dd> <dt>$ sigtool -l</dt> <dd>登録されているウイルスの一覧を表示</dd> </dl> </div> </div> <div class="section" id="c6.3"><h3>6.3. シグネチャの自作・使用</h3> <div class="section" id="c6.3.1"><h4>6.3.1. sigtoolによるシグネチャの生成</h4> <p> sigtoolは、ウイルスのシグネチャ作成を補助するツールで、ウイルスに感染したファイルを細切れにして他のウイルススキャナにかけ、そのウイルススキャナが細切れにされたなかからどのファイルからウイルスを検出するかを調べます。これをくり返しながらそのウイルススキャナがどの部分をウイルスとして検出するのかを特定しその箇所をhexdumpします。 </p> <p> sigtoolでシグネチャを作成するためには以下の条件が必要です。 </p> <ul> <li>ウイルスに感染したファイルがある</li> <li>そのウイルスをClam Antivirusでは検出できない</li> <li>他のウイルススキャナでは、そのウイルスを検出できる</li> <li>そのウイルススキャナがコマンドラインでのインターフェースを持ち、なおかつ>標準出力にウイルス検出時の固有のメッセージを出力する</li> </ul> <p> 仮にこの「他のウイルススキャナ」のコマンド名を「anotherscan」とし、ウイルスに感染したファイルを「virus.exe」とします。また、このanotherscanコマンドがvirus.exeからウイルスを検出したとき「infected」という文字列が標準出力に出力するメッセージに含まれるものとします。 </p> <p> これらの条件下でsigtoolを次のように実行します。 </p> <pre><code> $ sigtool -c "anotherscan" -f virus.exe -s "infected" </code></pre> <p> このコマンドを実行すると「virus.exe.sig」というファイルにシグネチャを出力します。これだけではまだシグネチャのフォーマットの右辺だけにすぎませんから、適切なウイルスの識別名を左辺として設定します。 </p> </div> <div class="section" id="c6.3.2"><h4>6.3.2. 手動でのシグネチャの作成</h4> <p> 手作業でシグネチャを作成するにはウイルス固有の箇所を好きなツールを使ってhexdumpして「ウイルス名=hexdumpした出力」の形式にまとめるだけです。hexdumpする箇所については以下のことに注意する必要があります。 </p> <ul> <li>そのウイルスに必ず含まれていなければすり抜けられる危険性があります</li> <li>誤検出(false positive)防止のためそのウイルス以外には含まれていてはいけません</li> <li>安全のためシグネチャからウイルスを復元できないようにすべきです</li> <li>適度な長さ(40〜300文字くらい)が望ましい。短すぎると誤検出の危険性があり、長すぎるとClamAVに負担をかけます</li> <li>「00」で始まらないこと。clamav 0.54以下では処理能力が低下します</li> </ul> </div> <div class="section" id="c6.3.3"><h4>6.3.3. 自家製シグネチャの使用</h4> <p> 自家製のシグネチャを登録するには、VirusDBを格納しているディレクトリにlocal.dbのような「〜.db」というファイルを作成して追加します。 </p> </div> </div> <div class="section" id="c6.4"><h3>6.4. Netsky.Q用のシグネチャ作成例</h3> <div class="section" id="c6.4.1"><h4>6.4.1. シグネチャの自作こそがClamAVの醍醐味</h4> <p> ClamAVはオープンソースですから当然ながらシグネチャも自作できるのです。シグネチャの自作こそがClamAVの醍醐味であると断言します。VirusDBを最新にしても検出できない新種のウイルスを見つけたら対応するまで指をくわえて待つのではなくさっさとシグネチャを自作して自力で対応してしまいましょう。ウイルスさえ手に入ればシグネチャを作成できるのですから。ClamAVさえあれば、どこそこのアンチウイルス製品は対応した、またはまだ対応していない、とか、そんな情報を探しまわるような不毛な時間に別れを告げられます。そしてシグネチャを自作したら公開して他の人にも使ってもらいましょう。もちろんVirusDBチームにウイルスを送って一刻も早く正式対応してもらうのも忘れずに。 </p> </div> <div class="section" id="c6.4.2"><h4>6.4.2. 誰でも簡単に作成可能(責任はもちませんけど)</h4> <p> ClamAVはいわゆるパターンマッチ方式によってウイルスを検出しています。つまりはそのウイルスに固有のパターンを登録してしまえばよいのです。だから極端な話disassembleなどでウイルスの解析をする必要なし。検出さえされればそれでよいというわけ。まぁ厳密にはそういうわけにはいかない場合もありますが、品質さえ度外視すればほとんどの場合は難しく考えなくてもシグネチャを作成可能です。どうせ数時間後には(きっと)正式に対応されるのだからそれまでのつなぎと考えればよいと思うのです。 </p> </div> <div class="section" id="c6.4.3"><h4>6.4.3. vimエディタで</h4> <p> とりあえず(圧縮されていたら解凍して)Netsky.Qのウイルス本体を取り出し、16進表示できるエディタで開きます。ここではvimを使い、「:%!xxd」の呪文を唱えることにします。 </p> <pre><code>00008d0: 191d 8cad 3dc1 135a 3182 5c6c 4233 9063 ....=..Z1.\lB3.c 00008e0: beb7 2dad c336 9a54 417a 3d56 135e 1f62 ..-..6.TAz=V.^.b 00008f0: 11da a9fb e100 eac3 c948 ade7 2089 75f9 .........H.. .u. 0000900: 0d5a 8e31 2fd8 40be bc08 8ef3 a109 a526 .Z.1/.@........& 0000910: 3949 1a80 d7d6 6c60 2662 0286 a03a 6fa0 9I....l`&b...:o. 0000920: 3132 f9cb b767 9675 9020 ddd3 5d5e 9785 12...g.u. ..]^.. 0000930: 6a29 e69e f3f0 5159 c664 0688 678c 9250 j)....QY.d..g..P 0000940: aef5 62a0 05bf 0a70 1616 7e12 658d a4a7 ..b....p..~.e... 0000950: 57be 4e03 6db0 4635 4b7d 6b8b 7452 bd4d W.N.m.F5K}k.tR.M 0000960: df86 09a7 b92d a8a6 0814 d12f 3caa d02b .....-...../<..+ 0000970: 3a7e 2b3d d1b6 a088 1c22 0d61 611b 7913 :~+=.....".aa.y. 0000980: 674d 3612 3e05 f921 00c3 c011 de0c 4564 gM6.>..!......Ed 0000990: 638e 39a6 325c 7849 4ea6 7a76 9a02 691a c.9.2\xIN.zv..i. 00009a0: a62a 4c9a 4469 bca6 9096 9ae0 69fc e06c .*L.Di......i..l 00009b0: e671 1616 3c5a c3b0 0557 80cb ebe9 f6e1 .q..<Z...W...... 00009c0: cb06 e3ef e413 1b6c 2d11 0b11 0332 331d .......l-....23. 00009d0: c12d 1309 0a30 9225 0061 3336 2438 333d .-...0.%.a36$83= 00009e0: 0803 3c2b 3823 2737 7b06 4f02 222f 2078 ..<+8#'7{.O."/ x </code></pre> <p> ぱっと見で誤検出の可能性が少なそうな箇所を取り出してみることにします。誤検出が気になるなら多めに取り出すとよいのではないでしょうか。 </p> <pre><code>6c6026620286a03a6fa03132f9cbb76796759020ddd35d5e97856a29e69ef3f05159c6 640688678c9250aef562a005bf0a7016167e12658da4a757be4e036db046354b7d6b8b 7452bd4ddf8609a7b92da8a60814d12f3caad02b3a7e2b3dd1b6a0881c220d61611b79 13674d36123e05 </code></pre> <p> 左辺にウイルスの名称を加えて完成。とりあえず/tmp/db/local.dbに保存します。 </p> <pre><code> Worm.Netsky.Q@mm=6c6026620286a03a6fa03132f9cbb76796759020ddd35d5e97856 a29e69ef3f05159c6640688678c9250aef562a005bf0a7016167e12658da4a757be4e0 36db046354b7d6b8b7452bd4ddf8609a7b92da8a60814d12f3caad02b3a7e2b3dd1b6a 0881c220d61611b7913674d36123e05 </code></pre> </div> <div class="section" id="c6.4.4"><h4>6.4.4. 検出テスト</h4> <p> できあがったシグネチャで本当に検出できるか確認してみます。 </p> <pre><code>$ clamscan -d /tmp/db/local.db netsky_q.virus netsky_q.virus: Worm.Netsky.Q@mm FOUND ----------- SCAN SUMMARY ----------- Known viruses: 1 Scanned directories: 0 Scanned files: 1 Infected files: 1 Data scanned: 0.02 MB I/O buffer size: 131072 bytes Time: 0.001 sec (0 m 0 s) </code></pre> <p> ということなので、ちゃんと検出できることが証明されました。問題なのはウイルスによって形が変化する場合ですが、いくつか届いたNetsky.QのMD5値を調べてみるとどれも同じなのでそれは気にしなくても良さそう。 </p> </div> <div class="section" id="c6.4.5"><h4>6.4.5. 自家製シグネチャの完成</h4> <p> できあがったシグネチャを本番環境に投入します。clamdが稼動している場合はVirusDBを再読み込みさせる必要があります。 </p> <pre><code># cat /tmp/db/local.db >> /usr/local/share/clamav/local.db # kill -USR2 `cat /var/run/clamd.pid` </code></pre> <p> あとはログを観察して誤検出していないか注意するだけ。ちなみにNetsky.QはClamAVではSomefool.Qとしてすでに対応済みであって、ここではシグネチャ作成例として取り上げているだけです。 </p> </div> </div> <div class="chapter" id="c7"><h2>7. 自作プログラムでclamavを利用する</h2> <div class="section" id="c7.1"><h3>7.1. libclamav</h3> <p>libclamavを利用することで自作のプログラムにアンチウイルス機能を加えることができます。詳細についてはclamav.hやclamdoc.pdfを読んでください。また、clamav-x.xx/examples/ex1.cにサンプルのソースがあります。</p> </div> <div class="section" id="c7.2"><h3>7.2. clamdの利用</h3> <p> 多くのプログラムではlibclamavよりもclamdとの通信を通じてウイルスの検査をさせるほうが手軽にアンチウイルス機能を実現できることが多いと思います。この場合、clamdとの通信に失敗したときにclamscanを予備のスキャナとして呼び出すような仕組みにしておくとよいでしょう。 </p> </div> </div> </div> <div class="chapter" id="c8"><h2>8. この文書について</h2> <ul> <li>この文書はGNU General Public Licenseに基づいています。</li> <li> この文書は小川真樹がClam Antivirusについて調べたもので、忘れないように記録したものをまとめたものです。 この文書の内容についての意見や感想、あるいは誤りの指摘については<a href="mailto:proc@mac.com">proc@mac.com</a>までご連絡下さい。 </li> <li> ここに書かれてあるものは完全に無保証です。ここに書かれてあることをそのまま実行してそのとおりに動作する保証は全くありません。また私自身は特にウイルスの専門家ではありませんのでご了承ください。 </li> <li> この文書の最新版は次の場所から入手できます。<br /> <a href="http://homepage.mac.com/proc/clamav.html">http://homepage.mac.com/proc/clamav.html</a> </li> </ul> </div> <div class="chapter" id="c9"><h2>9. TODO</h2> <ul> <li>Dazuko+Clamukoの部分</li> <li>cvdの電子署名の仕組み</li> <li>間連ソフトの説明</li> <li>clamdwatchとかmonitなど監視ツールを追加する</li> <li>過去のセキュリティホール情報とか追加する</li> </ul> </div> <hr /> <ul> <li>作成日: 2002年8月16日</li> <li>最終更新日: 2004年4月19日</li> <li>作成者: 小川真樹</li> <li>Email: <a href="mailto:proc@mac.com">proc@mac.com</a></li> <li>ホームページ: <a href="http://homepage.mac.com/proc/">http://homepage.mac.com/proc/</a></li> </ul> </body> </html>