« 2004年9月 | トップページ | 2004年11月 »

McAfee VirusScanアップデート(3)

再度McAfeeの検証。
送受信時の実際の動作を見てみる。下の図はMcAfeeを通してメールを送信したときのネットワークトラヒックの様子。

McAfee3
(クリックすると元のサイズでポップアップします)

これを見れば分るように実際にBeckyが送信したときには通信はしていない。送信時はMcAfeeがBeckyから受け取り、受信時はMcAfeeが事前に受け取る。

これは前回の図のとおりの動作をしていることになる。
eicar30.png

それにしても予想以上にスループットが出てないように思えるが我が家のADSLのほぼ上限に近い値だとは思う。
我が家は8M契約なのでダウンロードの上限値はおよそ2M強。だからMcAfeeの能力の上限値に達する前に回線速度の上限に達してしまっている。
そのうちもっとネットワーク資源のあるところでテストしてみたい。

2004年10月14日 (木) パソコン・インターネット | | コメント (0) | トラックバック (0)

McAfee VirusScanアップデート(2)

McAfee VirusScanの最新版(Ver9.0.10)でウィルスメールの受信テストを行った。

結論から言うとメール受信時のメールクライアントのセッション持ちきり問題は解消されている。

ウィルスはテスト用のeicar圧縮ファイルを利用。
まずeicar未圧縮ファイルはダウンロードすれば当然引っかかる。
eicar1.png

上記のように未圧縮のウィルスはきちんと引っかかる。

eicar圧縮ファイルはダウンロードに成功してしまう(ダウンロード時に圧縮ファイルも検査するようには変えられない)。
ただし圧縮ファイルからファイルを取り出そうとすると当然引っかかるので問題はない。

次にこのファイルをメールで受信する。
すると、
eicar21.png
という感じでウィルスが除去される。(この間メールクライアントはセッションを張ったまま)
つまりメールに関しては圧縮ファイルの中も検査している。
McAfeeのオプション設定を推奨にするとこのダイアログはまったく出ずに自動で削除される。

その後、メールクライアントは受信を終了する。
受信されたメールにはテキストの添付ファイルがくっついていてその内容は以下のとおり。

           
ファイル名:McAfee_EmailScanReport.txt

       ****************** McAfee VirusScan************************
        ******* Wed, 13 Oct 2004 23:16:57 +0900 で警告が生成されました*********
        *********************************************************************

        McAfee VirusScan により、<***@****.****.***>
        が送信したこの E メールから悪意のある脅威が検出されました。
        各感染部分に次のアクションが実行されました。
        <***@****.**.jp> にこのウイルス関連アクティビティを報告することを強くお勧めします。
       

        添付ファイル "eicarcom2.zip" は EICAR test file ウイルスに感染しています。
        この添付ファイルは隔離されました。

        添付ファイル "eicar_com.zip" は EICAR test file ウイルスに感染しています。
        この添付ファイルは隔離されました。

       

という具合。

ちなみに送信時もチェックされる。(送信時も圧縮ファイル内を検査している)
その場合は(McAfeeプロセスから)妙な日本語で送信時に添付を削除した旨メールが来る。

ではプログラムがどうなっているのかチェック。

メールクライアント(Becky2)がPOP3で受信を開始すると以下のようになる。

                                                                                                                                                                                               
Proto Local Address Foreign Address State PID
TCP 127.0.0.1:1802 127.0.0.1:1803 ESTABLISHED 2032
TCP 127.0.0.1:1803 127.0.0.1:1802 ESTABLISHED 1156
TCP 自ホストのIP:1801 メールサーバIP:110 ESTABLISHED 2032

最後の数値はPID。PIDを調査すると、
   2032 = McVSEscn.exe
   1156 = B2.exe
である。

つまりどういうことかというと、

eicar30.png
(ポート番号の1801~1803は動的に変更になる、はず)

という関係になっており、Beckyとメールサーバの間でMcAfeeが添付ファイルを削除して代わりに警告メールをつけている、と言う形になっているようだ。

2004年10月14日 (木) パソコン・インターネット | | コメント (0) | トラックバック (0)

McAfee VirusScanアップデート

普段利用しているMcAfee VirusScanがプログラム更新された。
PCを起動後自動実行。一度再起動したが特に問題なし。ワインレッドな感じ。

変更前Mcafee1 →変更後Mcafee2

動作は機敏になった感じがある。PC(WindowsXP)の起動、終了も体感できるほど早くなっている。

動作しているプロセスの数は5つでバージョンアップ前と変わらない。5つはNortonより多いのだがNortonよりはずっと軽く感じる。この辺がMcAfeeを選択している理由。

メールのウィルスチェックは方法が変わった模様。
送信はメールクライアントが送信終わってから、McAfeeがサイドチェックしている模様。
送信のたびに瞬間的に下のダイアログが出てくる。
McafeeDlg

旧Verで問題だったのは特に受信。
受信メールにウィルスがある場合、今までメールクライアントが受信中でもウィルスを強制撤去?していてメールクライアントが途方にくれてしまうことがあった。
これがどう解決されているのかはウィルスメールを受信しないことには分らない(受信したくないけど)。

プログラム自動更新だから追加費用もかからない。全体的に動作が機敏になったこともあり、満足なバージョンアップといえる。
Nortonやウィルスバスターが重いと考えている人は移行を考える価値がある。(ただ旧バージョンのMcAfeeはインストール・アンインストールの挙動がおかしいときがあったので無闇にお試しするのがお勧めできない。新バージョンで直っているといいのだが。)

FWが別にあるのでVirusScanしか入れてないけど外出先の事も考えてMcAfeeのFWも試してみようかな。

2004年10月13日 (水) パソコン・インターネット | | コメント (0) | トラックバック (0)

FireFox

ほんとうに久しぶりに他のブラウザを使ってみた。FireFox

普段使っているのはIE6とNetScape4.7 。NetScapeは業務システムでしか使わないから事実上IEだけ。プログラマとしてはFirefoxのほうが分りやすい動作をしているのが良く分る。昔のNetScapeに比べるのレイアウトが崩れる問題もほとんど発生しない。いまならIEからシェアを取り戻せるかも。

あとはFlashなどのプラグインがどこまで対応してくれるか、になると思う。
IEが主流になったことでプログラマとしてはIEを中心にプログラムを作ればいいのでとっても安泰だった。そういう意味ではスタンダードなブラウザというのは必要だと思う。
ただ最近はセキュリティアップデートが中心でなにか目新しさが消えていたからここらでFireFox&Mozilla、がんばってほしいと思う。

2004年10月11日 (月) パソコン・インターネット | | コメント (0) | トラックバック (0)

GetRTTAndHopCount()

たまたまPingを利用するアプリを作成していたところ、IP Helper関連の中にPingを打つようなAPIを発見した。CodeGuruで見てみると"A New Way to Ping
"ということで紹介されていたのを思い出したがなんか怪しい。

ということでGetRTTAndHopCount()を1回だけ実行してSnifferで調べてみると以下のようになっていた。

GetRTT.png


つまり、
  ・まず相手に到達するまでTTL=1から順に増やしてICMP-Echoを飛ばす。
  ・相手に到達しICMP-EchoReplyが返ってきたらTTL=32のICMP-Echoパケットをさらに2回飛ばす。
  ・これに成功すると関数はtrueを返す。hopには届いたTTLの数(上の例では3)が入る。

ということで純粋にICMP-Echoを1回、飛ばしているわけではないことが判明。

あと見ていて分ったのは送信データサイズは32バイトで変更ができなさそう。もちろんIP Option関連もできない。やっぱりICMP.dllのほうが柔軟な対応ができる。

2004年10月 7日 (木) | | コメント (0) | トラックバック (0)

NAV2004試用

現在ウィルスチェックソフトはMcAfeeを使っている。
秋はウィルスチェックソフトが更新されることが多く、ちょっと他にも目移りする。昔使っていたNortonAntVirus(以下NAV)も無料体験版があるのでVirtualPCでちょっと動かしてみた。

導入後のタスクがこれ。緑のところが増えたタスク。
tasklist-nav.png

インストーラなどはまとも。
でもやはり重い。問題なく動いていたVirtualPC上のWindows2000が使い物にならなくなった(笑)。このViretualPC上でDivXのエンコードをしたりしていたがNAVが入るとできないかな、これじゃぁ。もっとも試用版であることと、仮想PCであることを考えると今のPCであれば問題ないのかもしれない。
でも私はNAVは見送りかな。

2004年10月 3日 (日) パソコン・インターネット | | コメント (0) | トラックバック (0)

Logicool Mouse

愛用しているMicrosoft Mouse(ボール式)を某所に忘れてきてしまった。週明けまで取りにいけないので新しくMouse購入。

Logicool OpticalMouse USB WheelMouse

mouse-pack.jpg  mouse-in.jpg

ワイヤレスマウスと迷ったけど結局Logitechの光学式マウスに決定。
池袋で\1,480也。内容物は本当にマウスのみ。ドライバーCDもない(ドライバーは要らない)。

使用感。
まだ使い始めて30分だけど、まったく変わらない。昔の光学式マウスは微妙な応答遅れがあったんだけどもう気にならない。ボール式しか触ったことの無いうちの奥様も全然大丈夫で逆に妙な突っかかりが無くてよいとの感想。
私は逆にボール式にあった、「動いてます!」感覚が無くてちょっと寂しいのだけど。

私はマウスはMicrosoftとLogitech(Logicool)しか買わない。他のマウスはことごとく壊れていく経験があるから。
で現在手元にあるのはLogitechとMicrosoftしかない。以前のマウスと比較すると、ちょっと小さくなっているみたいだね。
mouse-cmp.jpg

2004年10月 2日 (土) パソコン・インターネット | | コメント (0) | トラックバック (0)

« 2004年9月 | トップページ | 2004年11月 »