差分

このページの2つのバージョン間の差分を表示します。

--- windows:avast [2020/02/15 11:01] – [Avast Software の AVG Technologies 買収] ともやん
+++ windows:avast [2021/12/22 14:00] (現在) – [Avast Software Analyzer が高負荷な場合] ともやん
@@ 行 1: / 行 1: @@
-<html>
-  <style>
-    #result pre {
-      height: 200px;
-      overflow: scroll;
-      overflow-x: hidden;
-    }
-    #result_mini pre {
-      height: 200px;
-      overflow: scroll;
-      overflow-x: hidden;
-      font-size: 12px;
-    }
-  </style>
-</html>
 ====== Avast Free Antivirus - 無料のセキュリティ対策ソフト ======
 本家: [[https://www.avast.co.jp/index|アバスト | 無料アンチウイルスと VPN をダウンロード | 無料＆簡単]]\\
@@ 行 27: / 行 12: @@
 過去には誤認識の問題もあったが最近は安定していると思う。(個人的に...) [[https://www.avast.co.jp/awards-certifications|受賞歴]] のような数々の受賞歴がある。さらに、アンチウイルス エンジンとしてはとても軽量で動作が高速である。\\
 \\
-{{:windows:avast_free_antivirus.png?600|Avast Free Antivirus}}\\
+{{windows:avast_free_antivirus.png?600|Avast Free Antivirus}}\\
 ===== 怪しいファイルが検出されたら... =====
 誤検出かどうか判断に迷った場合は、以下のサイトでファイルを確認してみる。\\
 [[https://www.virustotal.com/|VirusTotal]]\\
+VirusTotal のページで **Choose file** をクリックする。\\
+{{windows:virustotal_001.png?600|VirusTotal 001}}\\
+ブラウザでアップロードする怪しいファイルを選択する。\\
+{{windows:virustotal_002.png?600|VirusTotal 002}}\\
+誤検出の場合は、以下のように複数エンジンで検査してもウイルスは検出されない。\\
+<WRAP prewrap 100% #img_long>
+{{:windows:virustotal_003.png?600|VirusTotal 003}}\\
+</WRAP>
+※VirusTotal では複数エンジンで検査した結果を、ファイルのハッシュコード(SHA-256)ごとに記録している。\\
+===== 技術情報 =====
+==== ウイルスチェストの場所 ====
+<WRAP prewrap 100%>
+<code>
+%ALLUSERSPROFILE%\AVAST Software\Avast\chest
+</code>
+</WRAP>
+<WRAP prwwrap 100%>
+<code powershell>
+$ cd "$env:ALLUSERSPROFILE\AVAST Software\Avast\chest"
+$ dir
+</code>
+</WRAP>
+ウイルスチェストには **ChestId** のファイル名で保管されている。\\
+<WRAP prwwrap 100% #result>
+<code powershell>
+    Directory: C:\ProgramData\AVAST Software\Avast\chest
+Mode                 LastWriteTime         Length Name
+----                 -------------         ------ ----
+-a---          2020/05/29     2:51        1348616 00000004
+-a---          2020/05/29     2:51        1348616 00000005
+-a---          2020/05/29     3:07         892936 00000006
+-a---          2020/05/29     3:07         892936 00000007
+-a---          2020/05/29     3:12          15880 00000008
+-a---          2020/05/29     3:12          15880 00000009
+-a---          2020/05/29     3:13          15880 0000000A
+-a---          2020/05/29     3:13          15880 0000000B
+-a---          2020/05/29     3:20          12808 0000000C
+-a---          2020/05/29     3:20          12808 0000000D
+-a---          2020/05/29     3:20           5660 index.xml
+</code>
+</WRAP>
+**index.xml** の **<ChestEntry>** ごとに詳細が記録されている。\\
+<WRAP prwwrap 100% #result_long>
+<code xml index.xml>
+<?xml version="1.0" encoding="UTF-8"?>
+<aswObject>
+	<NewId>0000000E</NewId>
+	<Size>4572208</Size>
+	<ChestEntry>
+		<ChestId>00000004</ChestId>
+		<FileTime>1590655857</FileTime>
+		<OrigFileName>Microsoft.ServiceHub.Controller.ni.exe</OrigFileName>
+		<OrigFolder>C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.S441824ef#\f74ea0d22c6e947abc578c9e640f90fb</OrigFolder>
+		<Comment></Comment>
+		<Virus>Win64:Malware-gen</Virus>
+		<Category>Vir</Category>
+		<Restore>yes</Restore>
+		<TransferTime>1590688262</TransferTime>
+		<FileSize>1348608</FileSize>
+		<Viruses>Win64:Malware-gen|PE3-82832058000D6145DB228F0C2FC15BC9|troj;</Viruses>
+	</ChestEntry>
+	<ChestEntry>
+		<ChestId>00000005</ChestId>
+		<FileTime>1590655864</FileTime>
+		<OrigFileName>Microsoft.ServiceHub.Controller.ni.exe</OrigFileName>
+		<OrigFolder>C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.S441824ef#\f74ea0d22c6e947abc578c9e640f90fb</OrigFolder>
+		<Comment></Comment>
+		<Virus>Win64:Malware-gen</Virus>
+		<Category>Vir</Category>
+		<Restore>yes</Restore>
+		<TransferTime>1590688266</TransferTime>
+		<FileSize>1348608</FileSize>
+		<Viruses>Win64:Malware-gen|PE3-82832058000D6145DB228F0C2FC15BC9|troj;</Viruses>
+	</ChestEntry>
+	<ChestEntry>
+		<ChestId>00000006</ChestId>
+		<FileTime>1590656856</FileTime>
+		<OrigFileName>MSBuildTaskHost.ni.exe</OrigFileName>
+		<OrigFolder>C:\Windows\assembly\NativeImages_v4.0.30319_64\MSBuildTaskHost\054126cfec9321b25dc9b748adeea32a</OrigFolder>
+		<Comment></Comment>
+		<Virus>Win64:Malware-gen</Virus>
+		<Category>Vir</Category>
+		<Restore>yes</Restore>
+		<TransferTime>1590689259</TransferTime>
+		<FileSize>892928</FileSize>
+		<Viruses>Win64:Malware-gen|PE3-A9F1E31A00082645A36E5B552367B2B4|troj;</Viruses>
+	</ChestEntry>
+	<ChestEntry>
+		<ChestId>00000007</ChestId>
+		<FileTime>1590656861</FileTime>
+		<OrigFileName>MSBuildTaskHost.ni.exe</OrigFileName>
+		<OrigFolder>C:\Windows\assembly\NativeImages_v4.0.30319_64\MSBuildTaskHost\054126cfec9321b25dc9b748adeea32a</OrigFolder>
+		<Comment></Comment>
+		<Virus>Win64:Malware-gen</Virus>
+		<Category>Vir</Category>
+		<Restore>yes</Restore>
+		<TransferTime>1590689263</TransferTime>
+		<FileSize>892928</FileSize>
+		<Viruses>Win64:Malware-gen|PE3-A9F1E31A00082645A36E5B552367B2B4|troj;</Viruses>
+	</ChestEntry>
+	<ChestEntry>
+		<ChestId>00000008</ChestId>
+		<FileTime>1590657164</FileTime>
+		<OrigFileName>InteractiveHost64.ni.exe</OrigFileName>
+		<OrigFolder>C:\Windows\assembly\NativeImages_v4.0.30319_64\InteractiveHost64\50d8c698d631fc18a8ce2f8db8119a65</OrigFolder>
+		<Comment></Comment>
+		<Virus>Win64:Malware-gen</Virus>
+		<Category>Vir</Category>
+		<Restore>yes</Restore>
+		<TransferTime>1590689568</TransferTime>
+		<FileSize>15872</FileSize>
+		<Viruses>Win64:Malware-gen|PE3-4B97A2C4000045C5D0DF2C97BD80820E|troj;</Viruses>
+	</ChestEntry>
+	<ChestEntry>
+		<ChestId>00000009</ChestId>
+		<FileTime>1590657169</FileTime>
+		<OrigFileName>InteractiveHost64.ni.exe</OrigFileName>
+		<OrigFolder>C:\Windows\assembly\NativeImages_v4.0.30319_64\InteractiveHost64\50d8c698d631fc18a8ce2f8db8119a65</OrigFolder>
+		<Comment></Comment>
+		<Virus>Win64:Malware-gen</Virus>
+		<Category>Vir</Category>
+		<Restore>yes</Restore>
+		<TransferTime>1590689570</TransferTime>
+		<FileSize>15872</FileSize>
+		<Viruses>Win64:Malware-gen|PE3-4B97A2C4000045C5D0DF2C97BD80820E|troj;</Viruses>
+	</ChestEntry>
+	<ChestEntry>
+		<ChestId>0000000A</ChestId>
+		<FileTime>1590657222</FileTime>
+		<OrigFileName>InteractiveHost64.ni.exe</OrigFileName>
+		<OrigFolder>C:\Windows\assembly\NativeImages_v4.0.30319_64\InteractiveHost64\50d8c698d631fc18a8ce2f8db8119a65</OrigFolder>
+		<Comment></Comment>
+		<Virus>Win64:Malware-gen</Virus>
+		<Category>Vir</Category>
+		<Restore>yes</Restore>
+		<TransferTime>1590689625</TransferTime>
+		<FileSize>15872</FileSize>
+		<Viruses>Win64:Malware-gen|PE3-4B97A2C4000045C5D0DF2C97BD80820E|troj;</Viruses>
+	</ChestEntry>
+	<ChestEntry>
+		<ChestId>0000000B</ChestId>
+		<FileTime>1590657226</FileTime>
+		<OrigFileName>InteractiveHost64.ni.exe</OrigFileName>
+		<OrigFolder>C:\Windows\assembly\NativeImages_v4.0.30319_64\InteractiveHost64\50d8c698d631fc18a8ce2f8db8119a65</OrigFolder>
+		<Comment></Comment>
+		<Virus>Win64:Malware-gen</Virus>
+		<Category>Vir</Category>
+		<Restore>yes</Restore>
+		<TransferTime>1590689627</TransferTime>
+		<FileSize>15872</FileSize>
+		<Viruses>Win64:Malware-gen|PE3-4B97A2C4000045C5D0DF2C97BD80820E|troj;</Viruses>
+	</ChestEntry>
+	<ChestEntry>
+		<ChestId>0000000C</ChestId>
+		<FileTime>1590657609</FileTime>
+		<OrigFileName>ServiceHub.Host.CLR.x64.ni.exe</OrigFileName>
+		<OrigFolder>C:\Windows\assembly\NativeImages_v4.0.30319_64\ServiceHub.d6c1bcee#\81785ef9f7ba078a15543a1411169cfc</OrigFolder>
+		<Comment></Comment>
+		<Virus>Win64:Malware-gen</Virus>
+		<Category>Vir</Category>
+		<Restore>yes</Restore>
+		<TransferTime>1590690012</TransferTime>
+		<FileSize>12800</FileSize>
+		<Viruses>Win64:Malware-gen|PE3-D387008600002FC534A8051A723C3CE0|troj;</Viruses>
+	</ChestEntry>
+	<ChestEntry>
+		<ChestId>0000000D</ChestId>
+		<FileTime>1590657613</FileTime>
+		<OrigFileName>ServiceHub.Host.CLR.x64.ni.exe</OrigFileName>
+		<OrigFolder>C:\Windows\assembly\NativeImages_v4.0.30319_64\ServiceHub.d6c1bcee#\81785ef9f7ba078a15543a1411169cfc</OrigFolder>
+		<Comment></Comment>
+		<Virus>Win64:Malware-gen</Virus>
+		<Category>Vir</Category>
+		<Restore>yes</Restore>
+		<TransferTime>1590690015</TransferTime>
+		<FileSize>12800</FileSize>
+		<Viruses>Win64:Malware-gen|PE3-D387008600002FC534A8051A723C3CE0|troj;</Viruses>
+	</ChestEntry>
+</aswObject>
+</code>
+</WRAP>
+===== トラブルシューティング =====
+==== Avast Software Analyzer が高負荷な場合 ====
+{{windows:avast_high_load_001.png?492|Avast Software Analyzer 高負荷 001}}\\
+{{windows:avast_high_load_002.png?492|Avast Software Analyzer 高負荷 002}}\\
+Avast を最新の状態に更新してみると改善されることがある🤤\\
 ===== Avast Software の AVG Technologies 買収 =====
@@ 行 80: / 行 262: @@
 > cmake --build . --config Release --target install
 </code>
+=== CMake Error at ... Could NOT find OpenSSL が発生する場合 ===
+<WRAP prewrap 100% #result_long>
+<code>
+> cmake .. -DCMAKE_INSTALL_PREFIX="C:\DevTools\retdec" -G"Visual Studio 16 2019"
+-- Selecting Windows SDK version 10.0.19041.0 to target Windows 10.0.18363.
+-- The C compiler identification is MSVC 19.27.29111.0
+-- The CXX compiler identification is MSVC 19.27.29111.0
+-- Check for working C compiler: C:/Program Files (x86)/Microsoft Visual Studio/2019/Community/VC/Tools/MSVC/14.27.29110/bin/Hostx64/x64/cl.exe
+-- Check for working C compiler: C:/Program Files (x86)/Microsoft Visual Studio/2019/Community/VC/Tools/MSVC/14.27.29110/bin/Hostx64/x64/cl.exe - works
+-- Detecting C compiler ABI info
+-- Detecting C compiler ABI info - done
+-- Detecting C compile features
+-- Detecting C compile features - done
+-- Check for working CXX compiler: C:/Program Files (x86)/Microsoft Visual Studio/2019/Community/VC/Tools/MSVC/14.27.29110/bin/Hostx64/x64/cl.exe
+-- Check for working CXX compiler: C:/Program Files (x86)/Microsoft Visual Studio/2019/Community/VC/Tools/MSVC/14.27.29110/bin/Hostx64/x64/cl.exe - works
+-- Detecting CXX compiler ABI info
+-- Detecting CXX compiler ABI info - done
+-- Detecting CXX compile features
+-- Detecting CXX compile features - done
+-- Setting build type to 'Release' as none was specified.
+-- Found PythonInterp: C:/Users/nakayama/scoop/shims/python3.exe (found suitable version "3.8.5", minimum required is "3.4")
+-- Capstone: using remote Capstone revision.
+-- Looking for pthread.h
+-- Looking for pthread.h - not found
+-- Found Threads: TRUE
+-- LLVM: using remote LLVM revision.
+-- YARA: using remote YARA revision.
+-- YaraMod: using remote YaraMod revision.
+CMake Error at C:/Program Files (x86)/Microsoft Visual Studio/2019/Community/Common7/IDE/CommonExtensions/Microsoft/CMake/CMake/share/cmake-3.17/Modules/FindPackageHandleStandardArgs.cmake:164 (message):
+  Could NOT find OpenSSL, try to set the path to OpenSSL root folder in the
+  system variable OPENSSL_ROOT_DIR (missing: OPENSSL_CRYPTO_LIBRARY
+  OPENSSL_INCLUDE_DIR) (Required is at least version "1.0.1")
+Call Stack (most recent call first):
+  C:/Program Files (x86)/Microsoft Visual Studio/2019/Community/Common7/IDE/CommonExtensions/Microsoft/CMake/CMake/share/cmake-3.17/Modules/FindPackageHandleStandardArgs.cmake:445 (_FPHSA_FAILURE_MESSAGE)
+  C:/Program Files (x86)/Microsoft Visual Studio/2019/Community/Common7/IDE/CommonExtensions/Microsoft/CMake/CMake/share/cmake-3.17/Modules/FindOpenSSL.cmake:450 (find_package_handle_standard_args)
+  src/fileformat/CMakeLists.txt:6 (find_package)
+-- Configuring incomplete, errors occurred!
+See also "D:/My_Projects/retdec/build/CMakeFiles/CMakeOutput.log".
+See also "D:/My_Projects/retdec/build/CMakeFiles/CMakeError.log".
+</code>
+</WRAP>
+**RetDec** のビルド要件にあるように **OpenSSL** ライブラリが必要である。[[windows:visualstudio#vcpkg_コマンド|Visual Studio - Vcpkg コマンド]] でライブラリをインストールする。\\
 === error MSB6006 が発生する場合 ===
@@ 行 100: / 行 329: @@
 \retdec\build\external\src\yaramod-project-stamp\yaramod-project-build-out.log を参照する。\\
-<WRAP prewrap 100% #result>
+<WRAP prewrap 100% #result_long>
 <code log yaramod-project-build-out.log>
 .NET Framework 向け Microsoft (R) Build Engine バージョン 16.4.0+e901037fe
@@ 行 147: / 行 376: @@
 コンソール出力: \\
 </WRAP>
-<WRAP prewrap 100% #result_mini>
+<WRAP prewrap 100% #result_long>
 <code>
 ##### Checking if file is a Mach-O Universal static library...
@@ 行 1564: / 行 1793: @@
 ==== この分野のおすすめ関連書籍 ====
 <WRAP multi-columns>
-<WRAP left>
+<WRAP left minfont>
 [[https://sites.google.com/site/analysingmalware/|アナライジング・マルウェア]]\\ - フリーツールを使った感染事案対処\\
 {{:windows:analysing_malware_book.png?200|Analysing Malware}}\\
 [[https://www.amazon.co.jp/gp/product/4873114551/ref=as_li_tl?ie=UTF8&camp=247&creative=1211&creativeASIN=4873114551&linkCode=as2&tag=tomoyan041-22&linkId=2523f4a693e22a47c83ffdf73f2f6016|Amazon]]\\
 </WRAP>
-<WRAP left>
+<WRAP left minfont>
 [[https://www.oreilly.co.jp/books/9784873114484/|リバースエンジニアリング]]\\ - Pythonによるバイナリ解析技法\\
 {{:windows:reverse_engineering_book.png?200|リバースエンジニアリング - Pythonによるバイナリ解析技法}}\\
 [[https://www.amazon.co.jp/gp/product/4873114489/ref=as_li_tl?ie=UTF8&camp=247&creative=1211&creativeASIN=4873114489&linkCode=as2&tag=tomoyan041-22&linkId=eca4d0e897cf23e0fdcc5f042a3dd850|Amazon]]\\
 </WRAP>
-<WRAP left>
+<WRAP left minfont>
 [[http://0xcc.net/binhacks/|Binary Hacks]]\\ - ハッカー秘伝のテクニック100選\\
 {{:windows:binary_hacks_book.png?200|Binary Hacks}}\\