ウイルスを実験用に保存して実験している方はどうやってPCを管理しているのですか。

セキュリティー対策に興味が有り、たまに勉強させてもらってます。

回答者さんや、ウイルス対策ソフトの検証、又は本職の方はどうやって感染したPCを管理しているのですか。

病原体のウイルスなら、隔離病棟や外界から遮断された実験室で管理していると思います。

PCとなるとイメージが湧きません。
私が思い浮かぶ程度では、ファイヤーフォールとかネットワークをケーブルを抜いているぐらいです。
しかし、あるサイトではオンラインスキャンを実行したりしているのを読んだことも有り、どんな管理をしているか分かりません。
ただの興味だけでの質問で申し訳ないですが、宜しければ教えて下さい。

No.6 ベストアンサー 回答者： noname#146143 回答日時： 2007/11/17 11:07

私の構成は、VDSLモデム→ブロードバンドルータ4ポートHUB付きで3ポートはSUN MICREのUNIXマシンを接続)→8ポートHUB(WindowsとLinuxのマシン3台接続)です。

ウィルス警報がでたら即回線を断にします。
ルータはNAT機能とDMZを設定しています。それとICMPの返答しないに設定。ステルススキャン対策。WindowsのFairWallも有効にしています。
これは、あくまでも進入されない設定です。こちらから行く分はFirefoxを使ってGoogle問い合わせる設定をしています。フィッシングはGoogleの機能が変わりにチェックしてくれます。
メインマシンのアンチウィルスはavast 4at homeを使っています。木馬のトロイの警告がちゃんとでます。貧乏人なのでフリーです。
OS類は正規版を使用しています。UNIX Soralisも正規版ユーザーです。

検証マシンは個人情報はいれていません。ウィルス感染したらちゃんと駆除の不可を行っています。トロイの木馬の種類によっては、起動がめちゃくちゃになってソフト起動できない状態になるものがあります。
そしたら、再インストールします。検証マシンならアンチウィルスソフトはKingsoftのフリー版が面白いですよ。

検証用(私も省スペースタイプです。)に安い省スペースタイプのパソコンを購入してはどうですか。
気をつけないといけないのがモデムのみ機種があります。
勉強のためにも、それと時代遅れのパソコンで十分です。ちなみに私はシスコ社のセキュリティプロフェショナルの資格を持っています。

当方メインマシンはWindowsとLinuxのデュアルマシンでWindowsXPはOCNでLinuxはPlalaを使用しています。
メールはセカンドマシンで行っています。ブラウジングもセカンドマシンです。メインマシンは、部屋でDVD見るのと、MP3作ったたり、年賀状とかオンライン作業がほとんどです。インターネットにつなげますが決まったサイトしか行きません。検索する時はセカンドマシンでします。その時はメインマシンは、スタンバイ状態にしています。

この回答へのお礼

回答ありがとうございます。
＞ルータはNAT機能とDMZを設定しています。それとICMPの返答しないに設定。ステルススキャン対策
DMZについて調べました。
ルーターの機能について勉強しないといけないと思いました。奥が深そうです。
いきなり自分でウイルスの検証とかは出来なくても、フリーの対策ソフトを使いどうなるか試す位から始め、そこで理解を深めていくのは面白そうですね。
まず人に最低限迷惑を掛けないように基礎を勉強しようと思います。
もう1台安いPCをますます欲しくなりました。

お礼日時：2007/11/18 10:15

No.9 回答者： noname#146143 回答日時： 2007/11/20 06:08

私も、パソコンは2台接続して利用しています。

1台はインターネットとメールとブログなどので使っています。問題はありません。不安だったら2台目をスタンバイ状態にしとけば良いです。
質問の内容については、ウィルスの種類として(1)トロイの木馬と(2)添付ファイル形式の二つに分かれます。トロイの木馬系はインタネットの閲覧で感染します。添付ファイル系はメールを不用意に開けた時に感染します。うり二つのページを作っています。不用意にクリックすると即感染です。ここは必ずURLを確認して下さい。
ここでウィルスはアクティブでなくパッッシブ形です。用は自分がアクションを起こさない限り感染しません。モデム・ルータには感染しません。商用ルータのOSはNetBSDをカスタマイズした物です。たから、Windows系のウィルスは感染しません。普通のルータも感染しません。
ウィルスはOSに感染します。即レジスターを破壊するもの、タイマー付きがあります。ある日突然おかしくなるのがタイマー付きウィルスです。
ここで、やっかいなのがP2Pウィルスでパソコンの情報をネットワーク上に公開します。
文字数が決まっているので簡単な説明になりましたが。

この回答へのお礼

詳しく回答して頂き感謝します。
PC本体以外の心配については理解出来ました。
自分でも試してみようと思います。
安いPCを探すことから始めます。
いろいろありがとうございました。

お礼日時：2007/11/20 09:12

No.8 回答者： noname#146143 回答日時： 2007/11/18 13:23

ルータでは、WAN側にグローバルアドレスが設定されます。

LAN側はプライベートアドレスが割り当てられます。
だいたいポートは、80番(HTTP)と20番(FTP制御用)が空いています。
怖いのは20番です。古くからあるプロトコルですが、隠しコマンドがあります。これを使うとIPアドレスとバックドアポート番号を教えてくれます。たいてい、このバックドアポートから進入してバッファオーバーフローをおこさせて管理者権限を剥奪します。そこを経由して他人にちょかいをかけます。
その乗っ取られたのを踏み台と言います。サーバーだったら踏み台サーバーです。
それと、メール等はクリアーテキストでなく必ず暗号化して下さい。
もうどこかのルータは進入されていますのでレイヤー3層でパケットキャプチャーされています。何百万円する機器は使っていないと思います。おそらくLinuxのnmapだと思います。フリーですごい機能のあるパケットキャプチャーソフトでありポートスキャンソフトです。他人のアドレスを使ってスキャンできます。各プロバイダーは、スキャンされたらメールが管理者に飛びます。ステルススキャンは、スキャンをした痕跡を残さない方法です。
少しづつ勉強して下さい。

この回答へのお礼

色々アドバイスを頂きまして、大変勉強になります。
メールの件も普段それ程気をつけては利用していませんでした。
自分の利用法を再確認してみます。

お時間があれば教えて頂きたいのですが、

１．2台のPCを使う際、同時に電源を入れて管理するほど知識がまだ無い場合、1台を電源をOFFにしてPC切替器でPC本体のみを替えた使い方をしても感染などの危険は有りますか。モデム、ルーターの中のネットワークに影響を及ぼす可能性など。

２．ウイルスなどはPC本体が稼動していなければ、他の機器には影響は及ぼす可能性は無いか。
モデムやルーターなどに影響を残す可能性などはあるのでしょうか。
モデムより内側に入ることで他の機器には悪さはしないのでしょうか。
HD以外でも他の部分に感染するタイプも有ったと聞いたことが有ります。

よろしくお願い致します。

お礼日時：2007/11/19 10:59

No.7 回答者： waros99 回答日時： 2007/11/17 23:09

#2です。

まあ、個人情報いっさい入れてなかったとしても、踏み台にして悪用されることもあり得ますからね。それにここ最近のMalware、特にTrojanなんかではFWB機能付き増えてます。rootkitオプション付きも珍しくなくなっちゃいましたし。BotなんかでもFWB機能付き出てきてます。BotネットワークのコントロールなんかではDistributed　Controlになってきてますし、暗号化通信でトラフィックトレース効かないようになってきてます。

この回答へのお礼

いろいろアドバイスありがとうございます。
FWB機能について調べました。
すり抜けてしまうウイルスもあるのですか。
リークテストなど調べましたが、英語の為、翻訳など使わないと分かりませんでした。（まだ翻訳にかけて読んではいません・・・）
専門用語が多くて少しずつ調べていきます。
興味本位で人に迷惑を掛けることだけはしないように注意します。

お礼日時：2007/11/18 10:20

No.5 回答者： noname#146143 回答日時： 2007/11/17 05:49

メインパソコンでウィルスが発見したら、回線断にしています。

そして、検証マシンでフリーソフトのアンチウィルスでどこまで出来るか確認していす。
安いパソコン、私は3000円パソコンペンIII550メガでウィルスの状況を確認しています。そしてクリーンインストールが簡単に出来るようにしています。
・迷惑メール防止をプロバイダーで行っています。
・通過した物はアンチウィルスで駆除します。
フリーならKingSoftが面白いですよ。ほとんど隔離されます。通常メッセージも隔離されるのが難点です。
・RED HATなど大手メーカは特に危ないです。全くそっくり作っていてトロイの木馬が仕込まれています。

この回答へのお礼

回答ありがとうございます。
私はPC1台なので冒険は出来ないので冒険はしていませんでした。
安いサブのPCをもう一台遊び用に用意したら面白そうですね。
個人データを入れないPCなら最悪リカバリーやバックップソフトで直ぐに元に戻せば遊べそうですね。

そんな使い方をする時、モデムからルーター、ハブなどでPCまで分けると思いますが、今まで教えて頂いた方法の簡易版みたいな形で影響しないように隔離するのですか。
（私はルーター機能が付いたモデムなのですが）
それともFirewallで充分ですか。
又質問になってしまい恐縮です。

お礼日時：2007/11/17 09:39

No.4 回答者： waros99 回答日時： 2007/11/16 15:46

#2です。

度々m(_ _)m

※参考
http://enterprise.watch.impress.co.jp/cda/topic/ …

この回答へのお礼

大手の企業がどのように活動しているかが分かり勉強になりました。
ウイルスを扱う際にどんなことをしているかもイメージ出来るようになりました。
後、VMWare Playerも少し調べてみました。
自分で扱えたら面白いでしょうね。
規模を大きくしなければ、そんなに費用を掛けないで試せるみたいですね。勉強になりました。
ありがとうございます。

お礼日時：2007/11/17 09:28

No.3 回答者： waros99 回答日時： 2007/11/16 14:24

#2です。

※参考

「SymantecとIntel、プロセッサに組み込むセキュリティー技術を開発中」

http://osusume01.sakura.ne.jp/windows-faq/archiv …

http://www.intel.co.jp/jp/business/business-pc/c …

この回答へのお礼

再度参考URLをありがとうございます。
勉強になりました。

お礼日時：2007/11/17 09:22

No.2 回答者： waros99 回答日時： 2007/11/15 21:34

こんにちは。

ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。

ボクはVMWare Playerという仮想環境でやってます。仮想マシンの作成や管理はVMX Builderを使ってます。

で、今書店に並んでるPC JAPAN 12月号の総合セキュリティー対策ソフトの比較記事に載ってるようなことと似たようなことをやってます。

この回答へのお礼

回答ありがとうございます。
＞ボクはVMWare Playerという仮想環境でやってます
VMWare Playerについて調べてみます。
ウイルスを管理しながら実験出来るなんて凄いですね。
私なんてセキュリティーソフトが変な反応をしただけで大騒ぎです。

お礼日時：2007/11/16 07:33

No.1 回答者： myeyesonly 回答日時： 2007/11/15 18:53

こんにちは。

その人の持ってるお小遣いと環境と腕によりますけど・・・

凄い例では、数台のパソを使い、ＬＡＮで繋いで、イントラネット（インターネットと同じシステムで繋ぐ事）環境を作ってWebサーバーやメールサーバーを置き、擬似インターネット環境を構築し、その中で実際にウィルスを暴れさせるなんて人もいます。
この場合、損害が発生したら全てのＰＣをリカバリして復活するので、各ＰＣごとに当初の環境を作り上げたイメージデータを取っておくのが普通です。

他に VMWare などの仮想ＰＣソフトを用いて同じような事をする人はかなり多いです。
VMWare では、仮想マシンデータを取っておけばＰＣの性能の許す範囲で何台も作れる上に、ウィルスで死んでしまった仮想マシンはそのまま削除して元データから簡単に作れるので便利です。

いずれにせよ、ウィルスをある程度飼っていじるレベルの人は、本物のWeb とは切り離した（擬似）ＰＣネットワーク環境を持ってる場合が殆どでしょう。

これが隔離病棟（あるいは社会）に当たります。

この回答へのお礼

回答ありがとうございます。
仮想PCは聞いたことがあります。
理解は出来ていませんが・・・
仮想環境を作り出して、その中で実験しているんですね。

ウイルス対策ソフトをテストするのにPCを感染させて、オンラインスキャンで実験している記事を読んだことがあるのですが、ネットに繋いだ時他を攻撃しないようにコントロールも出来るのでしょうか。

お礼日時：2007/11/16 07:29