人に聞けない痔の悩み、これでスッキリ >>

最近、
自社内のシマンテックを最新に変更したところ、自社開発プログラムの一部にて
シマンテック.SONARが リスク感知の警告を出し困っています。

この件について、詳しい情報があれば教えて頂けませんか?

シマンテックは バージョン12.1.1101.401 RU1 MP1。
開発環境はVB2010+Oracle11gで開発しており、
画面コントロールとして
VBで作られた自社製作のコントロールを利用しています。
レジストリの読込は行いますが、書き込みは行いません。
機能別の複数プログラム(数百個)が、専用のランチャ画面よりexe叩きで立ち上がる仕組みです。
(ランチャを通さない場合は、起動不可)


同様な形式で作られたEXE内でも
リスク指摘されるプログラムとされないプログラムが2つ存在します。
リスク指摘がされるプログラムをデバッグモードで動かした場合は、指摘がされません。

また、同じプログラムなのに
SONARにリスク通知が行われるPCと行われないPCが存在します。
(WinXP/Win7 32/64bit で起こるPCと起こらないPCが存在する)


ランチャを通さなければリスク通知されないように思えますが、
その場合、現象が発生するプログラムと発生しないプログラムの差の説明がつきませんし、
システム全体に関わる箇所な事、変更規模が大きいため、簡単には変更できません。


試しに、どこまで機能をそぎ落としたらリスク通知を行わなくなるか調べてみましたが無理でした。
(VB処理が空の状態でDLLリンクを最低限にしても、画面上コントロール配置次第で、リスク通知が走るというよく分らない結果です)


自社内だけであればシマンテック設定で解決しますが、
客先でも同様の現象が起こる可能性があるため
出来るだけプログラム内での解決を考えています。

また、
シマンテック社のホワイトリスト登録の方法は、
案件単位で数百ものexeに仕様変更が入るため現実的でありません。


対策が
わかる方がいればよろしくお願いします。

このQ&Aに関連する最新のQ&A

A 回答 (3件)

No2ですが、



>「シマンテックに仕様を変更」
>みたいな事はしてくれないみたいです。

間違った仕様なら変更してくれますよ。
ビジネスレベルなら基本だと思います。
シマンテック製品の購入先(サポート付)に問合せては如何でしょうか。
きちんとテクニカルサポートを契約しているところなら回答できるはずです。
#ただの販売店では無理です

>特定動作で判断されていると思いますが、その動作が何か知りたいだけです

サポートのチャネルがない、御社で特定できないなら下記のようなサービスがあります。
結構な金額を請求されるのでコストパフォーマンスが合うか難しいと思いますが、御社の仕様の問題かシマンテック製品の仕様の問題かを解決できると思います。

http://www.symantec.com/ja/jp/services/detail/de …

この回答への補足

ありがとうございます。
けど、まだその段階では無いので、もうしばらくは原因調査する予定です。


関係するかどうかわかりませんが、挙動が怪しいと判定されそうな箇所を補足で追加します。
オラクル接続は oo4o を用いており、その関係でプログラム自体X86でコンパイルしています。
また、.netフレームワークは3.5を用いて作成しています。
winapiをiniファイル読書で用いています。


後、気にかかっているのが、インサイト技術の件で
http://www.symantec.com/ja/jp/theme.jsp?themeid= …
この技術はソナーで用いられたりとか、していませんか?
けど、リスク判定で利用されていれば、個々で作成しているプログラムすべてOUTになりますよね、、。

補足日時:2012/08/17 18:37
    • good
    • 0
この回答へのお礼

理由がわかりませんが、
マニュフェストを追加すると感知しなくなり、
とりあえず、今回はこれで対策する事になりました。

状況をまとめまて書くと、
VB2010フレームワーク3.5で作成した(2003からコンバートでUpdateしたプログラム)を
他プログラムからexe呼び出しで実行した場合、現在のSymantec Endpoint 12.1.110.401のバージョンでは
ソナーが誤認知する可能性があり、
その場合、
マニュフェストを追加してコンパイルし直せば、誤認知されなく
なるみたいです。

お礼日時:2012/08/25 14:12

>この件について、詳しい情報があれば教えて頂けませんか?



御社の仕様が分からないので正確な返答はできません。
Sonerはビヘイビア型の検知手法なので、御社の仕様を変更するか、シマンテックに仕様を変更してもらうのが現実的な回避策だと思います。

http://www.symantec.com/business/support/index?p …

>出来るだけプログラム内での解決を考えています。

プログラム的な修正の他の方法では、証明書を利用すると比較的改修要素が少ないと思います。
また、プログラム的にセキュリティリスクになる部分はございませんか?

>シマンテック社のホワイトリスト登録の方法は、

評価の閾値を変更する方法や他の手法もあります。

https://www-secure.symantec.com/norton-support/j …

この回答への補足

回答ありがとうございます。
ネット見る限り、シマンテックに問い合わせても(シマンテックのフォーラムの回答を見る限り)
「シマンテックに仕様を変更」
みたいな事はしてくれないみたいです。

>>評価の閾値を変更
は、すべての客先にセキュリティ下げてください、ってお願いする形になるので、
それを回避したいのです。

解決しなければ、最終的にそうなるかと思いますが。

補足日時:2012/08/17 14:11
    • good
    • 0

プログラム内で解決できる方法があったら、それはそれで困りませんか?


ウイルスなどにもその仕組みを組み込めばSONARから関知できなくなるってことになりますし、そうなるとSONARは無用の長物と化しますが。

この回答への補足

挙動が怪しいという判断が、
特定動作で判断されていると思いますが、その動作が何か知りたいだけです。
たとえば、レジストリ読込が基点となっているのであれば
極力行わないよう修正する事で対処が出来ます。
共通処理に入っているようであれば、その処理を最低必要箇所に配置するようにするだけで
だいぶマシにはなります。
そう考えての質問です。

>>SONARは無用の長物と化
正直SONARは、今のままでは有害すぎますよ、、。

補足日時:2012/08/17 13:58
    • good
    • 1

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QDirコマンドでフォルダ内ファイルの合計サイズをだすには?(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか?
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル(つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

Q文字列として"(ダブルコーテーション)を表示させる方法

こんにちは。文字列として、ダブルコーテーションを表示させるには、どうすればよいのか教えてください。m(__)m


例えば、
<font size="2">あいうえお</font>

というタグの「あいうえお」の部分が、セルA1にあった場合、

="<font size="2">"&A1&"</font>"という表示にしたいのです。

"2"のダブルコーテーションも文字列として表示させるには、どうすればよろしいのでしょうか。

教えてください。よろしくお願い致します。

Aベストアンサー

こんにちは~

表示形式は 「標準」 のままで、
ダブルコーテーションを、ダブルコーテーションで囲んでください。

""2""

="<font size=""2"">"&A1&"</font>"

としてみてください。

Qプロキシ経由でインターネットアクセスする場合のDNSリゾルバは?

情報処理試験の問題でいまいち理解できないところがあったので教えてください。

前提
1.ファイアウォールで内部セグメント、DMZ、外部セグメントに分かれている。
2.DMZにプロキシサーバとDNSサーバがある。
3.インターネットアクセスは全てプロキシサーバ経由するよう設定された内部セグメントのPCからhttp://www.example.comへWEBアクセスをしようとした。

このとき、FQDNに対する名前解決をするリゾルバはどの装置か。
という問題で、回答はプロキシサーバとなっています。

ここが納得できないところで、私はリゾルバはDMZのDNSサーバなのではと思っています。

この場合の処理は以下のようになっていると思います。
A.プロキシサーバがwww.example.comの名前解決をDNSサーバに依頼する。
B.DNSサーバはフルサービスリゾルバとして動作しwww.example.comのIPアドレスをプロキシサーバに返す。
C.プロキシサーバはそのIPアドレスのホストにアクセスする。

プロキシサーバはスタブリゾルバである(?)から、という意味で回答がプロキシサーバと考えるのが妥当なのでしょうか。
DNSのリゾルバに関して完全に理解できていないかもしれないので間違ったことを書いているかもしれませんがよろしくお願いします。

情報処理試験の問題でいまいち理解できないところがあったので教えてください。

前提
1.ファイアウォールで内部セグメント、DMZ、外部セグメントに分かれている。
2.DMZにプロキシサーバとDNSサーバがある。
3.インターネットアクセスは全てプロキシサーバ経由するよう設定された内部セグメントのPCからhttp://www.example.comへWEBアクセスをしようとした。

このとき、FQDNに対する名前解決をするリゾルバはどの装置か。
という問題で、回答はプロキシサーバとなっています。

ここが納得でき...続きを読む

Aベストアンサー

リゾルバ ≠ DNSサービス ( or DNSサーバ )
と思いますがいかがでしょうか?

リゾルバは認識されている通り,2種類ありますよ。
 ・スタブリゾルバ
 ・フルサービスリゾルバ

でも一般的に リゾルバ = スタブリゾルバ ですね。
なのでリゾルバの定義としては,
「クライアントが名前解決をするときに利用するプログラムで,
 保持している IP-ホスト名一覧表,
 もしくは事前に定義されている DNS-Server に問合せを実行し,
 IP-Address,ホスト名を取得するもの。」
です。

http://e-words.jp/w/E383AAE382BEE383ABE38390.html
http://www.atmarkit.co.jp/fnetwork/dnstips/010.html

SOFTBANK Publishing
TCP/IP スタンダード
Page.203


ですので,
 1.クライアントからProxyサーバに「http://www.yahoo.co.jp」が送られる。
 2.ProxyサーバはDNSサーバに「www.yahoo.co.jp」の IP-Address を問い合わせる。
 3.DNSサーバはProxyサーバに「xxx.111.222.333」を返答する。
 4.Proxyサーバは「xxx.111.222.333」に「index.html」を要求する。

 2 = リゾルバ (スタブリゾルバ)
 3 = DNSサーバ(フルサービスリゾルバ)

となると思いますよ。

リゾルバ ≠ DNSサービス ( or DNSサーバ )
と思いますがいかがでしょうか?

リゾルバは認識されている通り,2種類ありますよ。
 ・スタブリゾルバ
 ・フルサービスリゾルバ

でも一般的に リゾルバ = スタブリゾルバ ですね。
なのでリゾルバの定義としては,
「クライアントが名前解決をするときに利用するプログラムで,
 保持している IP-ホスト名一覧表,
 もしくは事前に定義されている DNS-Server に問合せを実行し,
 IP-Address,ホスト名を取得するもの。」
です。

http://e-word...続きを読む

Qbatである文字列内に特定の文字列が含まれているか確認したい

batファイルの中である変数「abc」の中に「test」という文字が含まれていたら○○を行なうという分岐を作成したいのですが、どのように行なえばよいのでしょうか?

そのまま、ずばりのお答えお待ちしております。

よろしくお願い致します。

Aベストアンサー

大文字小文字を区別しなくていいなら、

if not "%abc:test=%" == "%abc%" echo 含まれていた

区別するなら、

echo %abc% | find "test" >NUL
if not ERRORLEVEL 1 echo 含まれていた

Qノートンに「SONAR保護」というのがあるのですが、オンでもオフでも「

ノートンに「SONAR保護」というのがあるのですが、オンでもオフでも「監視」にすると「リスクあり」と表示されます。そして、オンでもオフでも「無視」にすると「リスクあり」の表示は消えます。
「SONAR保護」はオンにした方が良いですか?オフにした方が良いですか?そして、「監視」にした方が良いですか?「無視」にした方が良いですか?

 よろしくお願いします。

Aベストアンサー

こんにちは!

オン=正常に機能が動く設定

オフ=機能を停止する事(良い使い方ではないです)

監視=正常な機能が動作する中で警告等を表示させて監視状況が分かる状態。

無視=正常な機能が動作する中で警告等を出さなくする設定です。
※無視設定しても履歴の「SONAR活動」に記録は残ります。

オン、オフの設定は基本的にONの設定が望ましいです。
監視、無視はどちらを選択しても機能が止まる事ではないです。

   

Qカーソル0件の時にエラーを発生させる

以下の処理をしようと考えています。

Aテーブルをカーソルで検索
    →0件だった場合にはエラー ・・・ (1)
    →データが入っていた場合には処理
    →カーソルのデータがなくなったら処理を正常終了

カーソルに入っているデータが0件だった場合、Oracle上ではエラーとはみなされず、処理が正常終了してしまいます。
カーソルデータが0件だった場合にエラーを発生させるにはどのようにコーディングすればよいですか?

Aベストアンサー

最初のFETCHをループの外ですればいいのでは。

open cur1;
fetch cur1 into rec1;
if cur1%notfound then
close cur1;
raise NO_DATA_FOUND;
end if;

loop
--処理
fetch cur1 into rec1;
exit when cur1%notfound;
end loop;

close cur1;


人気Q&Aランキング