Panda TruPrevent を使ってみました ~あるいは仮想インターネットの実装~
35
Panda TruPrevent Panda TruPrevent をををををををを をををををををを ををををををををををををををををを ~~ ををををををををををををををををを ~~ ををを ををを [email protected] [email protected] をををををををを をををををををを
description
Panda TruPrevent を使ってみました ~あるいは仮想インターネットの実装~. 小島肇 [email protected] 龍谷大学理工学部. 前回までのあらすじ. ふるまい検出 ?. Cisco Security Agent Panda TruPrevent ホストベース IPS どのくらい使えるものなのか要検証. Panda TruPrevent. Panda TruPrevent. Panda Software (本社:スペイン)の製品 http://www.pandasoftware.jp/ - PowerPoint PPT Presentation
Transcript of Panda TruPrevent を使ってみました ~あるいは仮想インターネットの実装~
Panda TruPrevent Panda TruPrevent を使ってみましたを使ってみました~あるいは仮想インターネットの実~あるいは仮想インターネットの実
装~装~
小島肇 小島肇 [email protected]@rins.ryukoku.ac.jp
龍谷大学理工学部龍谷大学理工学部
前回までのあらすじ前回までのあらすじ
ふるまい検出ふるまい検出 ??
Cisco Security AgentCisco Security Agent Panda TruPreventPanda TruPrevent ホストベース ホストベース IPSIPS どのくらい使えるものなのか要検証どのくらい使えるものなのか要検証
Panda TruPreventPanda TruPrevent
Panda TruPreventPanda TruPrevent Panda Software Panda Software (本社:スペイン)の製品(本社:スペイン)の製品
http://http://www.pandasoftware.jpwww.pandasoftware.jp//• www.Panda.co.jp www.Panda.co.jp から引用から引用 ::
TruPrevent Personal 2005 は、他のアンチウイルス製品では不可能な処理を実行します。つまり、アンチウイルスでは阻止しきれなかったプログラムの振る舞いを分析して未知のウイルスを検出、瞬時にその動作をブロックします。
Personal Personal 版と 版と Corporate Corporate 版がある版がある• Personal Personal 版はほとんどチューニングできない(おま版はほとんどチューニングできない(おま
かせ)かせ)• Corporate Corporate 版はある程度のチューニングが可能(設版はある程度のチューニングが可能(設
定項目はそれほど多くはなさそう)定項目はそれほど多くはなさそう)
TruPrevent Personal TruPrevent Personal 試用版を 試用版を getget
情報セキュリテ情報セキュリティ ィ ExpoExpo (( 6/296/29 ~~7/17/1 )) : Panda : Panda ブースブース
インストーラ→インストーラ→ インストール自インストール自
体はごくふつう体はごくふつうに終了に終了
設定項目(設定項目( 11 )) 有効・無効くら有効・無効くら
いしかないいしかない それが本当は何それが本当は何
を意味するのかを意味するのか不明 不明 (^^;;;)(^^;;;)
設定項目(設定項目( 22 )) 除外設定が可能除外設定が可能
(ファイル単(ファイル単位)位)
設定項目(設定項目( 33 )) アップデートアップデート
• 試用版は、試用版は、 1 1 回だけアップデートできる回だけアップデートできる• 試用版自体は 試用版自体は 30 30 日間利用できる日間利用できる
何をアップデートするのか何をアップデートするのか• どうやらウイルス定義ファイルらしいどうやらウイルス定義ファイルらしい• TruPrevent TruPrevent はシグネチャ方式のチェックも実施するはシグネチャ方式のチェックも実施する
ようだようだ
シグネチャマッチングの例シグネチャマッチングの例 Mytob-EPMytob-EP (( Sophos Sophos 分類)を 分類)を 2005-08-25 2005-08-25 データデータ
で実行すると、で実行すると、 W32/Mytob.FD.worm W32/Mytob.FD.worm として検出・として検出・削除される削除される
同じものを 同じものを 2005-04-28 2005-04-28 データ(インストール時のデータ(インストール時のもの)で実行すると、未知のウイルスとして検出さもの)で実行すると、未知のウイルスとして検出される(が、ある程度動作する)れる(が、ある程度動作する)
なんだかうまく検出しないなんだかうまく検出しない ??
Host-only network Host-only network な な VMWare VMWare 上でいくつかのウ上でいくつかのウイルスを試していたのだが、なんだか検出しないイルスを試していたのだが、なんだか検出しない事例が多いような……事例が多いような……
Host-only Host-only (外部との接続がない) (外部との接続がない) network network だかだからら ??• たとえば、特定のネットワーク接続を行う、ことを判たとえば、特定のネットワーク接続を行う、ことを判
断基準にしている場合にはうまく動かない可能性が断基準にしている場合にはうまく動かない可能性が それなりなネットワークを構築する必要があるそれなりなネットワークを構築する必要がある ?? そんなときに……そんなときに……
Infection Network Infection Network 内での仮想イ内での仮想インターネットの構築ンターネットの構築
JANOG 16 JANOG 16 で、中山 雄克 氏(シマンテッで、中山 雄克 氏(シマンテック)が発表ク)が発表http://www.janog.gr.jp/meeting/janog16/abstract_0http://www.janog.gr.jp/meeting/janog16/abstract_01.html#abs1051.html#abs105http://www.pineapple.gr.jp/JANOG16/vinet.pdfhttp://www.pineapple.gr.jp/JANOG16/vinet.pdf
ウイルスなどの挙動観察用の閉鎖環境 ウイルスなどの挙動観察用の閉鎖環境 これをつくらないとだめなんじゃないのこれをつくらないとだめなんじゃないの
かか ?!?!ひ~ひ~
仮想インターネットの実装仮想インターネットの実装
仮想インターネットのネットワ仮想インターネットのネットワークーク
http://www.pineapple.gr.jp/JANOG16/http://www.pineapple.gr.jp/JANOG16/vinet.pdf vinet.pdf より引用より引用
ルータ上で実現すべきことルータ上で実現すべきこと DNS server DNS server を動作させ、を動作させ、
• あらゆる あらゆる A / MX query A / MX query に対してルータの に対してルータの IP IP アドレスを返すアドレスを返す
web server web server を動作させ、を動作させ、• あらゆるリクエストに対してもエラーを返さなあらゆるリクエストに対してもエラーを返さな
いい• アクセス先の アクセス先の URL URL を を reprep ly するとなおよいly するとなおよい
メールサーバを動作させ、メールサーバを動作させ、• RCPT TO RCPT TO を特定の宛先に書き換えてメールをを特定の宛先に書き換えてメールを
収集収集
ルータ上で実現すべきことルータ上で実現すべきこと(2)(2)
NAT を動作させ、NAT を動作させ、• 全パケットをルータに転送全パケットをルータに転送• Infection Machine Infection Machine からの攻略パケットを からの攻略パケットを AnAn
other Machine other Machine に転送に転送• って、なんか矛盾が(後述)って、なんか矛盾が(後述)
IRC サーバ、IRC サーバ、 ntp ntp サーバ、MSN サーバ、MSN MeMessenger ssenger サーバ、サーバ、 AOL Messenger AOL Messenger サーバサーバを動作させるを動作させる• MSN, AOL MSN, AOL はシマンテック独自開発だそうだはシマンテック独自開発だそうだ
俺実装(1)俺実装(1)
InfectionWin 2000 Pro SP4
ルータFreeBSD 4.11
AnotherWin 2000 Pro SP4
192.168.1.x192.168.0.x
133.83.18.x
lnc0lnc1 lnc2
龍大内部
俺実装(2)俺実装(2) FreeBSD 4.11-RELEASEFreeBSD 4.11-RELEASE
• ipfilter ipfilter (( OS OS 添付)添付) ipfilter ipfilter が使えるよう が使えるよう kernel kernel をつくりなおしをつくりなおし
• bind 8bind 8 (( OS OS 添付)添付)• apache 2.0.54apache 2.0.54 (( portsports ))• postfix 2.2.5postfix 2.2.5 (( portsports ))• ircdircd
ipfilteripfilter
NAT を動作させ、NAT を動作させ、• 全パケットをルータに転送全パケットをルータに転送• Infection Machine Infection Machine からの攻略パケットを からの攻略パケットを
Another Machine Another Machine に転送に転送• って、なんか矛盾、どうするよって、なんか矛盾、どうするよ
とりあえず、こうしてみたとりあえず、こうしてみた
/etc/ipnat.rules:/etc/ipnat.rules:
rdr lnc1 0.0.0.0/0 port 25 -> 133.83.18.55 port 25 tcprdr lnc1 0.0.0.0/0 port 25 -> 133.83.18.55 port 25 tcprdr lnc1 0.0.0.0/0 port 80 -> 133.83.18.55 port 80 tcprdr lnc1 0.0.0.0/0 port 80 -> 133.83.18.55 port 80 tcp
rdr lnc2 0.0.0.0/0 port 25 -> 133.83.18.55 port 25 tcprdr lnc2 0.0.0.0/0 port 25 -> 133.83.18.55 port 25 tcprdr lnc2 0.0.0.0/0 port 80 -> 133.83.18.55 port 80 tcprdr lnc2 0.0.0.0/0 port 80 -> 133.83.18.55 port 80 tcp
rdr lnc1 0.0.0.0/0 port 135 -> 192.168.1.1 port 135 tcp/udprdr lnc1 0.0.0.0/0 port 135 -> 192.168.1.1 port 135 tcp/udprdr lnc1 0.0.0.0/0 port 137 -> 192.168.1.1 port 137 tcp/udprdr lnc1 0.0.0.0/0 port 137 -> 192.168.1.1 port 137 tcp/udprdr lnc1 0.0.0.0/0 port 138 -> 192.168.1.1 port 138 tcp/udprdr lnc1 0.0.0.0/0 port 138 -> 192.168.1.1 port 138 tcp/udprdr lnc1 0.0.0.0/0 port 139 -> 192.168.1.1 port 139 tcp/udprdr lnc1 0.0.0.0/0 port 139 -> 192.168.1.1 port 139 tcp/udprdr lnc1 0.0.0.0/0 port 445 -> 192.168.1.1 port 445 tcp/udprdr lnc1 0.0.0.0/0 port 445 -> 192.168.1.1 port 445 tcp/udp
ipfilteripfilter
ipfilteripfilter/etc/ipf.rules:/etc/ipf.rules:
pass in quick proto icmp from any to anypass in quick proto icmp from any to anypass out quick proto icmp from any to anypass out quick proto icmp from any to anypass in quick on lo0pass in quick on lo0pass out quick on lo0pass out quick on lo0
block in log all head 1block in log all head 1pass in quick proto tcp/udp from 192.168.0.0/25 to 192.168.0.0/25 keep state group 1pass in quick proto tcp/udp from 192.168.0.0/25 to 192.168.0.0/25 keep state group 1pass in quick proto tcp/udp from 192.168.0.0/25 to 133.83.18.55/32 keep state group 1pass in quick proto tcp/udp from 192.168.0.0/25 to 133.83.18.55/32 keep state group 1pass in quick proto tcp/udp from 192.168.1.0/25 to 192.168.1.0/25 keep state group 1pass in quick proto tcp/udp from 192.168.1.0/25 to 192.168.1.0/25 keep state group 1pass in quick proto tcp/udp from 192.168.1.0/25 to 133.83.18.55/32 keep state group 1pass in quick proto tcp/udp from 192.168.1.0/25 to 133.83.18.55/32 keep state group 1pass in quick proto tcp/udp from 192.168.0.0/25 to 192.168.1.0/25 keep state group 1pass in quick proto tcp/udp from 192.168.0.0/25 to 192.168.1.0/25 keep state group 1
block out log all head 200block out log all head 200pass out quick from 192.168.0.0/25 to 192.168.0.0/25 keep state group 200pass out quick from 192.168.0.0/25 to 192.168.0.0/25 keep state group 200pass out quick from 133.83.18.55/32 to 192.168.0.0/25 keep state group 200pass out quick from 133.83.18.55/32 to 192.168.0.0/25 keep state group 200pass out quick from 192.168.1.0/25 to 192.168.1.0/25 keep state group 200pass out quick from 192.168.1.0/25 to 192.168.1.0/25 keep state group 200pass out quick from 133.83.18.55/32 to 192.168.1.0/25 keep state group 200pass out quick from 133.83.18.55/32 to 192.168.1.0/25 keep state group 200pass out quick from 192.168.0.0/25 to 192.168.1.0/25 keep state group 200pass out quick from 192.168.0.0/25 to 192.168.1.0/25 keep state group 200
bind 8bind 8/etc/namedb/named.conf:/etc/namedb/named.conf:
logging {logging { channel "log_queries" {channel "log_queries" { file "/var/log/bind/queries.log" versions 3 size 10m;file "/var/log/bind/queries.log" versions 3 size 10m; severity info;severity info; print-time yes;print-time yes; print-category yes;print-category yes; };};
category queries { "log_queries"; };category queries { "log_queries"; };};};
zone "." {zone "." { type master;type master; file “root.zone";file “root.zone";};};
bind 8bind 8/etc/namedb/root.zone:/etc/namedb/root.zone:
$TTL 86400$TTL 86400;;; file : root.zone; file : root.zone; zone : .; zone : .;;@ IN SOA tnasti-bsd bind-admin.rins.ryukoku.ac.jp. (@ IN SOA tnasti-bsd bind-admin.rins.ryukoku.ac.jp. ( 105081001 ; Serial105081001 ; Serial 10800 ; Refresh10800 ; Refresh 3600 ; Retry3600 ; Retry 1209600 ; Expire1209600 ; Expire 3600 ; Minimum3600 ; Minimum ))
IN NS tnasti-bsd.st.ryukoku.ac.jp.IN NS tnasti-bsd.st.ryukoku.ac.jp.* IN A 133.83.18.55* IN A 133.83.18.55 IN MX 10 tnasti-bsd.st.ryukoku.ac.jp.IN MX 10 tnasti-bsd.st.ryukoku.ac.jp.
bind 8bind 8
/var/log/bind/queries.log:/var/log/bind/queries.log:
26-Aug-2005 21:23:21.201 queries: XX+/192.168.0.1/dc21.dc21business.com/A/IN26-Aug-2005 21:23:21.201 queries: XX+/192.168.0.1/dc21.dc21business.com/A/IN26-Aug-2005 21:31:44.679 queries: XX+/192.168.0.1/zaminbank.net/A/IN26-Aug-2005 21:31:44.679 queries: XX+/192.168.0.1/zaminbank.net/A/IN26-Aug-2005 21:35:58.692 queries: XX+/192.168.0.1/zajahost.net/A/IN26-Aug-2005 21:35:58.692 queries: XX+/192.168.0.1/zajahost.net/A/IN26-Aug-2005 21:35:58.784 queries: XX+/192.168.0.1/microsoft.com/A/IN26-Aug-2005 21:35:58.784 queries: XX+/192.168.0.1/microsoft.com/A/IN26-Aug-2005 21:44:31.342 queries: XX+/192.168.0.1/google.com/A/IN26-Aug-2005 21:44:31.342 queries: XX+/192.168.0.1/google.com/A/IN26-Aug-2005 21:44:31.781 queries: XX+/192.168.0.1/www.rit.edu/A/IN26-Aug-2005 21:44:31.781 queries: XX+/192.168.0.1/www.rit.edu/A/IN26-Aug-2005 21:44:32.222 queries: XX+/192.168.0.1/www.google.com/A/IN26-Aug-2005 21:44:32.222 queries: XX+/192.168.0.1/www.google.com/A/IN26-Aug-2005 21:44:32.321 queries: XX+/192.168.0.1/www.google.com/A/IN26-Aug-2005 21:44:32.321 queries: XX+/192.168.0.1/www.google.com/A/IN26-Aug-2005 21:44:48.342 queries: XX+/192.168.0.1/3.0.168.192.in-addr.arpa/PTR/IN26-Aug-2005 21:44:48.342 queries: XX+/192.168.0.1/3.0.168.192.in-addr.arpa/PTR/IN26-Aug-2005 21:50:29.937 queries: XX+/192.168.0.1/acs.pandasoftware.com/A/IN26-Aug-2005 21:50:29.937 queries: XX+/192.168.0.1/acs.pandasoftware.com/A/IN26-Aug-2005 21:56:49.069 queries: XX+/192.168.0.1/www.rit.edu/A/IN26-Aug-2005 21:56:49.069 queries: XX+/192.168.0.1/www.rit.edu/A/IN26-Aug-2005 21:56:49.165 queries: XX+/192.168.0.1/google.com/A/IN26-Aug-2005 21:56:49.165 queries: XX+/192.168.0.1/google.com/A/IN26-Aug-2005 21:56:49.358 queries: XX+/192.168.0.1/www.google.com/A/IN26-Aug-2005 21:56:49.358 queries: XX+/192.168.0.1/www.google.com/A/IN26-Aug-2005 21:57:11.741 queries: XX+/192.168.0.1/2.0.168.192.in-addr.arpa/PTR/IN26-Aug-2005 21:57:11.741 queries: XX+/192.168.0.1/2.0.168.192.in-addr.arpa/PTR/IN
apache 2.0.54apache 2.0.54/usr/local/etc/apache2/Includes/tnasti-bsd.conf:/usr/local/etc/apache2/Includes/tnasti-bsd.conf:
RewriteEngine onRewriteEngine on
RewriteLog "/var/log/httpd-rewrite.log"RewriteLog "/var/log/httpd-rewrite.log"RewriteLogLevel 2RewriteLogLevel 2
RewriteRule ^/.* /hoge.html [L]RewriteRule ^/.* /hoge.html [L]
ForensicLog "/var/log/httpd-forensic.log"ForensicLog "/var/log/httpd-forensic.log"
「アクセス先の 「アクセス先の URL URL を を reprep ly するとly するとなおよい」は実装してませんなおよい」は実装してません
/var/log/http-rewrite.log:/var/log/http-rewrite.log:
192.168.0.1 - - [26/Aug/2005:21:35:59 +0900] 192.168.0.1 - - [26/Aug/2005:21:35:59 +0900] [zajahost.net/sid#809cdc8][r[zajahost.net/sid#809cdc8][rid#815d050/initial] id#815d050/initial]
(2) init rewrite engine with requested uri /c1.txt(2) init rewrite engine with requested uri /c1.txt192.168.0.1 - - [26/Aug/2005:21:35:59 +0900] 192.168.0.1 - - [26/Aug/2005:21:35:59 +0900] [zajahost.net/sid#809cdc8][r[zajahost.net/sid#809cdc8][rid#815d050/initial] id#815d050/initial]
(2) rewrite /c1.txt -> /hoge.html(2) rewrite /c1.txt -> /hoge.html192.168.0.1 - - [26/Aug/2005:21:35:59 +0900] 192.168.0.1 - - [26/Aug/2005:21:35:59 +0900] [zajahost.net/sid#809cdc8][r[zajahost.net/sid#809cdc8][rid#815d050/initial] id#815d050/initial]
(2) local path result: /hoge.html(2) local path result: /hoge.html192.168.0.1 - - [26/Aug/2005:21:35:59 +0900] 192.168.0.1 - - [26/Aug/2005:21:35:59 +0900] [zajahost.net/sid#809cdc8][r[zajahost.net/sid#809cdc8][rid#815d050/initial] id#815d050/initial]
(2) prefixed with document_root to (2) prefixed with document_root to /usr/local/www/dat/usr/local/www/data/hoge.htmla/hoge.html192.168.0.1 - - [26/Aug/2005:21:35:59 +0900] 192.168.0.1 - - [26/Aug/2005:21:35:59 +0900] [zajahost.net/sid#809cdc8][r[zajahost.net/sid#809cdc8][rid#815d050/initial] id#815d050/initial]
(1) go-ahead with /usr/local/www/data/hoge.html [OK](1) go-ahead with /usr/local/www/data/hoge.html [OK]
apache 2.0.54apache 2.0.54
apache 2.0.54apache 2.0.54
/var/log/httpd-forensic.log /var/log/httpd-forensic.log の例の例 ::
+VC3p1YVTEjcAABGVfzQAAAAH|GET /ftp/file.exe HTTP/1.1|User-Agent:+VC3p1YVTEjcAABGVfzQAAAAH|GET /ftp/file.exe HTTP/1.1|User-Agent:Mozilla/5.0|Host:zaminbank.netMozilla/5.0|Host:zaminbank.net
-VC3p1YVTEjcAABGVfzQAAAAH-VC3p1YVTEjcAABGVfzQAAAAH+Y0--loVTEjcAABFyHCwAAAAB|GET /c1.txt HTTP/1.1|User-Agent:+Y0--loVTEjcAABFyHCwAAAAB|GET /c1.txt HTTP/1.1|User-Agent:
Mozilla/5.0|Host:zajahost.netMozilla/5.0|Host:zajahost.net-Y0--loVTEjcAABFyHCwAAAAB-Y0--loVTEjcAABFyHCwAAAAB
mod_forensic mod_forensic は は ports ports 標準では構成されないので注意標準では構成されないので注意• Makefile.modules Makefile.modules の の MISC_MODULES= MISC_MODULES= に に log_forensic log_forensic を追加を追加• (Makefile (Makefile の の CONFIGURE_ARGS= CONFIGURE_ARGS= に に --enable-log-forensic --enable-log-forensic を追加を追加 ))• log_forensic log_forensic を使うには を使うには mod_uniqid mod_uniqid も必要だが、これはデフォルトも必要だが、これはデフォルト
で入っているようだで入っているようだ
postfix 2.2.5postfix 2.2.5
/usr/local/etc/postfix/main.cf:/usr/local/etc/postfix/main.cf:
recipient_canonical_maps = recipient_canonical_maps = pcre:/usr/local/etc/postfix/recipient_canonical.txtpcre:/usr/local/etc/postfix/recipient_canonical.txt
/usr/local/etc/postfix/recipient_canonical.txt:/usr/local/etc/postfix/recipient_canonical.txt:
/^.*$/ [email protected]/^.*$/ [email protected]
ircd ircd やら やら IM IM やらやら irc2.10.3p7+jp6 irc2.10.3p7+jp6 をインストールしてみたをインストールしてみた
が、なんだかうまく動いていないようだが、なんだかうまく動いていないようだ•俺のスキル不足 俺のスキル不足 orzorz
IM IM ものは独自実装が必要だがものは独自実装が必要だが•俺のスキル不足 俺のスキル不足 orzorz
麻薬もたしなまないとだめですか、そう麻薬もたしなまないとだめですか、そうですか。ですか。
Windows 2000 SP4Windows 2000 SP4 ふつうの ふつうの Windows 2000 SP4 + IE6 SP1Windows 2000 SP4 + IE6 SP1 てきとうなメールアカウントをつくっておくてきとうなメールアカウントをつくっておく 状況監視ツール状況監視ツール
• sysinternals.com sysinternals.com の の Process Explorer Process Explorer と と TCP View TCP View をインスをインストールトール
タスクマネージャや タスクマネージャや cmd.com cmd.com はウイルスによって強制終了させはウイルスによって強制終了させられることが多いられることが多い
• Startup Control Panel Startup Control Panel と と Startup Monitor Startup Monitor をインストールをインストールhttp://www.mlin.net/StartupCPL.shtmlhttp://www.mlin.net/StartupCPL.shtmlhttp://www.mlin.net/StartupMonitor.shtmlhttp://www.mlin.net/StartupMonitor.shtml
• hosts hosts ファイル監視用にファイル監視をインストールファイル監視用にファイル監視をインストールhttp://www.vector.co.jp/soft/win95/util/se132799.htmlhttp://www.vector.co.jp/soft/win95/util/se132799.html
やってみましたやってみました
デモ デモ orzorz
Panda TruPreventPanda TruPrevent調査結果調査結果
TruPrevent TruPrevent 調査結果調査結果 パターンに該当すればウイルスとして検出パターンに該当すればウイルスとして検出 パターンに該当しない場合は、ウイルスには感染してパターンに該当しない場合は、ウイルスには感染して
しまうしまう• C:\WINNT\System32\ C:\WINNT\System32\ とかに保存されてしまうとかに保存されてしまう• hosts hosts ファイルやレジストリ ファイルやレジストリ (HKLM / Run (HKLM / Run とか)も改変されとか)も改変され
てしまうてしまう mass mailing mass mailing 型のウイルスについては検出してくれる型のウイルスについては検出してくれる
ようだが、検出されるまでにいくつかメールが送られようだが、検出されるまでにいくつかメールが送られてしまう場合があるてしまう場合がある
ダウンローダはダウンローダは ??• ダウンロードしたものに依存すると思われダウンロードしたものに依存すると思われ
ネットワーク感染型についてはネットワーク感染型については ??• Mytob-EF Mytob-EF での状況を見ると期待できないでの状況を見ると期待できない ??
今後の予定今後の予定 仮想インターネットの改良仮想インターネットの改良
• 特に 特に irc irc 方面方面 いろいろなウイルスでの いろいろなウイルスでの TruPrevent TruPrevent のの
テストテスト•誰か検体ください(誰か検体ください( Zotob Zotob とか……)とか……)
他社のもののテスト他社のもののテスト• Cisco Security AgentCisco Security Agent• eEye BlinkeEye Blink
