■■■BlackICEスレ　part3■■■

3.6の調子はどうですか？

2getto

>>1
立てたらリンク集くらい作れよ
立てっぱなしにするな

前スレ
＿■■■BlackICEスレ 2■■■＿
http://pc.2ch.net/test/read.cgi/sec/1012458984/
＿■■BlackICEスレ■■＿
http://pc.2ch.net/test/read.cgi/sec/992171869/

www.BlackICE.jp
http://www.blackice.jp/

act2 website
http://www.act2.co.jp/

Internet Security Systems
http://www.isskk.co.jp/

MSRPCが多い、LOG見ると

しかし、RPC の脆弱性に真っ先に対応したのに人気無いね。
そこが良いといえば良いんだけど。

>>7
販売ルートが弱いし、一般人は、ウィルス対策との違いが
理解できないからね。

TCP445とUDP137に反応しないのですが、仕様ですか？
調べたのですが、ガイシュツなら申し訳ない

RPC の脆弱性をついた攻撃の場合はどんな感じに表示され
るの？

うちは
[攻撃準備調査] このシグネチャは、ポート 135 に向けられた
TCP ポート調査を検出します。これは、攻撃者がシステム上で
MSRPC サービスが利用可能かどうかを判別するためにスキャ
ンを行っていることを示す可能性があります。

ってのしかお目にかかれないんだけど。

UDP 1434 の場合は3回連続できて
[攻撃準備調査] [サービス不能攻撃] [疑わしいアクティビティ]
危険度も全部違うけど

今回のワームで黒氷って優秀だと思った…もしかして黒氷の方ががノートンの侵入検知より優秀？

質問です。
ユーザー登録の時に嘘の情報で登録したらダメなんですか？
もしかして登録した住所にハガキ送って確認しますか？
ユーザー登録は嫌いだからしたくないんですが…

>11
シグネチャの意味、分かりますか？

イベントログを見ると135を叩いてる侵入者のIPの中で「0.0.0.0」というのが
あるんですがコレはなんなんでしょう？

>>12
偽名で契約を結ぶと犯罪に問われるよ？
そこまでしたくないならしなきゃ良いだけ

DHCP_Format_String_BO
[不正アクセスの試み] このシグネチャは、DHCP 要求のオプション セグメント
にある printf style 書式文字列の存在を検出します。書式指定子が 1 つ以上
存在する場合は、DHCP サーバー上でコードの実行を試みたり、DHCP サーバー
をクラッシュさせる可能性があります。

こんなのが時々来る。危険度高いし、なんかブロックできてないみたいだし、advICE
押しても404になって詳しい説明見れない・・・
なんなんだこれ？

>14
イベントが多すぎて黒氷がエラー起こしているのと違いますか？

>>16氏
確かにイベントが多いのでエラーかもしれませんね。
ファイルをクリアして様子を見てみます。

>>15
＿|￣|○　うぐ〜・・・そうですか・・・ユーザー登録はあきらめます・・・

web見ててリンクをクリックすると突然再起動してしまう
再起動後のスキャンディスクでBlackICElog002.encなんたら
かんたらって出る。これバグですか？

やたら同じ奴からクラッキング受けたんで
そいつのIP調べたらクライアントのものでした。
これはブラックアイスの誤作動でしょうか？
おとついから３０００回以上危険アタックが来ます・・・

>18
漏れは、パッチをダウソしたい為、登録したYO

>20
2〜3個IPを貼ってみれ

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

TCP135通してみたら、そのIPはAUTOで遮断されたよ

>>15
登録しないと黒氷のサポートメリットを行かせない罠。

ごめん、>>18 ね。

出先でダイヤルアップしたら、毎分一回くらい「目玉のマーク」
が白くなって、気になってネット出来ないくらいだった。ちょうど、
鉄砲玉の嵐の中を防弾チョッキ着て歩いているような気分だった。
ブラックアイスは、検出感度は良いが、少し出過ぎ。一度「遮断」
したところからのアクセスは表示しないで欲しい。

BlackICEを入れてるとMSNメッセ6でのファイル送受信が異常に遅いんですが
何番のポートを開ければいいんでしょうか？

>28
送受信が出来てる状態なら、既にポートが開いてると思われ

>>28です。すみません、説明不足でした。
現在、送受信ともに1〜5KB/sしか速度が出ない状態です（相手は光・当方はADSL回線）。
BlackICEのファイヤーウォールの設定はデフォルト、防御レベルは高です。
送受信前にBlackICEを停止させると私の環境のMAX速度（約100KB/s）で送受信できるようになります。
このような状態ですのでMSNメッセ6が使うポートを予め開けておけば速度が出ると思い質問しました。

基本的にMSNのファイル送受信は遅いよ

>30
OSがXP以外ならMTU　RWINを調整すると、スピードUpすると、思われ

>>30
ファイル送受信に使われてるのは6891から6900のポートです
1ポートにつき1ファイル

>>30
暴挙レベル高なら普通に使えるんじゃないのか？

たびたびすみません、28です。
>>33さんの書かれたポートを開けたところ無事速度が出るようになりました！感謝感謝です！
レスくれた方々、本当にありがとうございました。

MSNメッセに使われるポートって

TCP&UDP 1863
TCP 6891-6901
UDP 5190,6901

じゃなかったっけ？
他にもDirectX9.0a以上入れないと正常に動作しないとか聞いたような気がする。
(´-`).｡oO(多分、俺の夢かもしれないから幻覚の可能性90%。間違ってたらｽﾏｿ)

2.9は漏れる事があると聞いた事がありますが
3.6も漏れますか？

>>27
「危険」レベル以外はアラームを出さない
特にうるさいワーム類は無視
に設定しとけば実に静かなもんだよ。

このスレも静かだな

きちんとver upしている人には今回の騒動は対岸の火事だから。
まあ、一日何百回と135叩かれるのはウザイけど。

別にほとんどのﾎﾟｰﾄはﾙｰﾀで弾くからこれ使うまでも無いんだけどな・・・

>41
IDSの意味を知らない香具師ハケーン

黒氷は従来のIDS「侵入検知システム」を越えた「侵入検知/防御システム」だそうだな。
従来とどう違うんだ？

>>41
ネットする以上、いくつかのポートは開ける必要がある。
そのポートに異常なパケットが入り込んだらどうするの？
ルータ、ファイアウォール、ＩＤＳの違いを勉強しよう。

>>43
ファイアウォール機能も内包してるからでは？

>>45
ファイアーウォール機能って前からついてたんじゃないの？
前のバージョンの時のは使ったことないからわかんないけど…
それかな・・

アクト・ツーの通販サイトから、
BlackICE PC Protection のダウンロード版を買おうとしたら、
品切れだから買えない旨の表示が出て、買えなかった。
ダウンロード版の品切れなんて存在するのか！？
違う理由があるにせよ、もうちっとマシな言い訳があるんじゃ
ないのか、オイ。
ちょっとムカついちゃったのでもうしばらく Sygate で行きまつ。

>>48
マジで売り切れ？
売ろうとする気が感じられない…

きっと、バカ売れして、ライセンスキーの空間を使い切ってしまったんだよｗ
＞売り切れ

ていうかアクト・ツーの商品の比べ方がおかしくないか？
なんで対象が「ノートンインターネットセキュリティ2001」なんだよ。すでに2003が出てるのに
2001と比べてるから「2003と比べたらどうなるんだ？」って思うべ。

詳しい事はよくわからないけど、135ポートを叩きに来る人たちは
MSBlastに感染しちゃった人たちなんですか？
尋常じゃない数なんだけど、感染してる事を教えてあげることはできんのですか？

>>52
ほっとけ

やっぱり考え直してもっかいアクトツーストアに逝ってみたよ。
もうダウンロード版は売ってなかったよ。
オイラは幻でも見てたのでしょうか？（´･ω･｀）

ICMP Echo RequestをStealthにしていますか?
デフォルトで無効になっていますので…
Sever版とかはGUIで設定できるようですが個人仕様では
BlackICEのﾃﾞｨﾚｸﾄﾘにあるfirewall.iniをﾒﾓ帳等で開いて
[PARMS]
block.ICMP = enabled, 0, unknown
[MANUAL ICMP ACCEPT]
REJECT, 8:0, ICMP Echo Request, 1970-01-01 00:00:00, PERPETUAL, 2000, BIgui

以上を追加します
正常動作しているかどうかを以下で確認しましょう
http://scan.sygate.com/
ICMPがblockedならOKです
備考
MSBlasterﾜｰﾑ ﾀｲﾌﾟD対策にもなります

俺はノートン先生と黒氷を同時で使ってるから気にしない。
ノートン先生が黒氷の前にきているからたいていはノートンが弾いて
ノートンのIDSををとおりぬけてくる強者は黒氷でストップと。

二つ常駐しても別に大して重くないから入れてます・・
意味ないかもしれないけど。

訂正Sever→Server
追加
[MANUAL ICMP ACCEPT]
REJECT, 0:0, ICMP Echo Reply, 1970-01-01 00:00:00, PERPETUAL, 2000, BIgui

>>54
今はあるよ
買えそうだし

>>55
[MANUAL ICMP REJECT]にする方法はないのか？
前に試してみたが、勝手にACCEPTに戻されたよ

>>55は俺宛ということでよかですか？
言われたとおりして、scan.sygate.comに行ったら全部blockedという結果で、
135叩きもほぼ無くなりました。ありがとう。

>>60不可抗力だけどよかったね
>>59ｾｯｼｮﾝの項目がACCEPTだけど設定記述が
ACCEPTなら通過になりREJECTなら破棄になるようですよ
あと>>57の設定は要りませんでしたねぃw

>55
ICMP Echo RequestをStealthの追加ですが>57の追加分は要らないの？

[PARMS]
block.ICMP = enabled, 0, unknown
[MANUAL ICMP ACCEPT]
REJECT, 8:0, ICMP Echo Request, 1970-01-01 00:00:00, PERPETUAL, 2000, BIgui

以上追加でよろしいのですか？

>>62Type=0のEcho Replyは 自分のマシンよりPINGコマンドを送ったときの
応答となりますので、こちらはRejectする必要はないですね。

まぁ、ﾈｯﾄ接続のﾃｽﾄをしないのなら以下の設定でもいいのではないでしょうか…
REJECT, 0-40:0, All ICMP, 1970-01-01 00:00:00, PERPETUAL, 2000, BIgui
すべてのICMPを応答不能にします
ですが一部のﾊﾞｰｼﾞｮﾝではn-nのような範囲指定に不具合があるようです

3.6cbrにしたらウィンドウ位置を大きさをWindowsを終了しても保存してくれなくなってしまいました。
一度移動すれば位置と大きさが保存されますが、Windows再起動後には真ん中に戻ってしまいます。
2.9の時はこんなこと無かったのですが… 他の方の環境ではどうでしょうか。

>>64
http://www.toyo.co.jp/security/ids/support/faqj/contents/qj00113.html
↑に書いてあるレジストリを削除してから自分好みの大きさに変えてタスクトレイの
BlackICE アイコンから終了を選択して（エンジン停止じゃなくて）スタートアップから
起動し直せば再起動後も覚えていると思います。

いつのまにか防御レベル「なし」
設定していたファイアウォールのルールもすべて消えてました。
どこかに穴でもあるのか、ちょっと心配になりました。

これなに？
どうしたらいいの？

[疑わしいアクティビティ]
このシグネチャは、ポート 1243 または 27374 に向けられた
TCP ポート調査を検出します。
これは、攻撃者がシステム上で
SQL サービスが利用可能であるかどうかを判別するために
スキャンを行っていることを示す可能性があります。

>>65
ありがとうございます。試してみます。

企業内で使用しているPCにBlackICEを導入することについてどう思いますか？
（ちなみに、ウィルス対策ソフトやFWは導入済み）
効果があるのはわかりますが、一方では心配もあります。
ド素人や半可通が多いとかえって混乱するんじゃないかとか、
既存のアプリと同居させると問題があったりするんじゃないかとか・・・
企業内で運用／管理されている方もそうでない方もご意見くだされ。

ISSのお世話になるまでもない小規模企業で
全マシンにBlackICEを入れるという意味？

>>70
さいです。

それなら、GUI部分(blackice.exe)を起動しないようにすればいい。
管理者以外のアカウントのスタートメニューからBlackICEのショートカットを消すだけ。
(スタートアップだけではなくISSの項目も)
必要ならプログラムの入っているフォルダのアクセス権限も変更しておく。
本体(blackd.exe)は動いているので、アイコンが表示されないだけでブロックされてる。
（俺は最初「黒い目玉」じゃなくて「黒い熊」のアイコンだと思ったよ）

導入するかどうかは人それぞれ意見が違うと思うが、
LAN内の最低限のセキュリティを確保という意味ではいいのかも。

>63
レス有り難う御座います
早速追加しましたm(__)m

>>69
クライアント・システムにIDSなんかいらないだろ。必要である根拠をまず具体的に
考えてみるべきじゃないの？「なんとなく不安であるという気持ちをそれに託して放置
できるようになる」とかいうレベルで考えてるだけじゃないの？

>74
自分もそう思う…というより
・ウィルス対策ソフトやFWは導入済み
・導入には当然金がかかる
・混乱の種を増やすのはどうかと入れる前から心配している
のあたりを理由に、導入を見送って他に予算を回した方が良いのではないかと思う。

>>69
Blasterで不安になったのかも

入れるなら72氏の書いてるとおりだが、
入れても侵入を検出することはないだろうな。
あったら問題だろ。

導入しても誰かがメールの添付ファイルを実行して祭りにしてしまう罠

…こういうのは根本的に防がないとダメだと思う
で、FWをすでに導入してるって事なんで新たに入れることはないと思うよ

BlackICEってウィルスバスター２００３付属のファイヤーウォールソフトよりいい？
何か、ＨＰ見てたら、４９００円でパッケージ版が９月５日に発売されるようなので、予約しておきましたが。

>>70,72,74-77
　レスありがとうございます。
　個人的には、BlackICE入れるのは費用対効果上
「過剰品質」の感がありますね。
　ただ、半可通の社長（笑）が言い出したこの機会に
検討しようと思った次第です。
　中小企業の宿命で、たかだか一社員が必要と思っても
なかなか買えませんが、社長が必要と思ったものは
即買えちゃうので。
　これってやっぱりＤＱＮなんだろうなぁ・・・

>>78
BlackICEとファイアウォールソフトはちょっと役割が違うんだよね。
どっかで読んだ例えだが、ファイアーウォールソフトは家のまわりの塀。
塀で囲まれていても出入り口が必要でその出入り口にたつ門番の役割がBlackICE。

>>79 会社はF/W使ってる、社員個人はIDS使っていない→一応普段みんな安心。
→ある日、お父さん社員が自宅のPCからFDでファイルを会社PCにいれる。→そこの課のLAN接続PCみんな感染
→気づくの遅いと部でみんな感染→会社全体感染
→社内業務（メール、勤怠、backオフィス、受発注、営支援、コールセンタ）システムほとんど、web（asp)経由入力のアプリで、
n/w死ぬと、業務処理死ぬ意味と同じ
→会社の情シス怒る→社長も怒る→全社員にパッチ適用、
ウイルスチェックソフトによるチェック、駆除要請通達。駆除まで長いと2日位。　

こんな事態が実際あるから、もしかして、「いっそIDSいれたらどうやろ？」って考えますよね。けど金額べらボー高いすよね。きっと。（マジであったっす）

会社PCにアンチウイルスソフトが入ってたら、
最初に感染FD読み込むところで食い止められそうなものだけどな。

>80
その例えだと、firewallは何も通さないことになりますね
門番の役割はfirewallです

そして、特定のパケットをdropする機能を備えている時点で
BlackICEはFirewallと同等と考えてＯＫ

IDSは、特定のパケットについてalertだすだけで
基本的に素通し

>>82
Windows updateしない者が
アンチウイルスソフト、BlackICEをupdateするかな？

なんか黒氷のサイトのトップページが変わったね。
前は「最強！」だったけど今回は「MS　Blastも未然に予防！定義ファイル更新しなくても未然に予防
しました！最強の予防接種！今すぐダウンロード！」だってさ。

けっこう良いんじゃないの？他のセキュリティソフトでは感染したのかな・・・

IDSはAntiVirusソフトみたいなもんだろ。
Firewallはパケットのヘッダは見るが中身はみない。
当然定義ファイル更新なんて無い。

今、Blastの影響でAntiVirusソフトはバカ売れみたいよ
買うのに数日待ちって店もあるそうな

BIはAntiVirusとはちょっと違うから
とりあえず流行に乗ってみたんだろうね

正確には、アンチウィルス、FW、IDSはパターンマッチングで検知する
だからマッチングしない場合は、素通りして攻撃を受ける
これは、クラッカーが、UGで出てるツールで攻撃をした場合にはセキュリティツールが
ブロックをしてくれるが、対人間の場合、殆ど役に立たない
本気のクラッカーは、最低でも３台のマシンから、アタックをするから
何故？最低３台からアタックをする意味が分からない場合は、イタイ

>>88
あれでしょ。
Pen4はHTテクノロジ対応だけど
２つまでしか同時に実行できない。
3台から来られると厳しい。

>89
TCPの3wayを復習してください

アンチウィルスソフトは「未知のウィルスも検知する」プログラムが開発されていってるけど、
侵入検知システムでは「未知の侵入方法も検知する」プログラムは開発されないの？
実質不可能なのかな。

>>91　例えば通信をプロファイリングして検知するやつとかあるけど。
つうかセキュ板って殆どの人がネットワークのことあまり理解してないような・・・

>>90　回線が3本必要ですね。

>>92
そうなんだ。
つーかセキュリティ板は俺みたいな初心者がセキュリティを学ぶ板
のように今はなっていると思いますよ。だから一部の人しか詳しい人がいないと思います。

66 再び発生
いつのまにか防御レベル「なし」
設定していたファイアウォールのルールもすべて消えてました。
どこかに穴でもあるのか、ちょっと心配になりました。

>92
亀レスだが、禿同
クラッカーが一番気になるのは、ログである　これを如何に隠蔽するのが
全てであるっと言っても過言でもないだろう
最大の難関は、プロバイダのログ　これをクリアする為に（以下略）
私が思うのはセキュの勉強も必要だがアタッカーの攻撃手口の勉強も必要だと思う

死のPINGの意味が分かる人は、レクチャしてね

>>95再インスコ

>>96　Ping of Deathか。97年ぐらいに流行ったらしいね。
そのころはPCなんて存在知らなかったな。
TCP/IPのバグをついたもんだよね。フラグメンテーション
するときにパケット1つの大きさは決められてるからね。
いまどきパッチが当てられてるけどね。でも単純に
みんなで打ち続けるのもおもしろいんじゃないかな？
EchoパケットとかSYNとかならヘッダ偽装しても打てるし

なぜ再インスコ？
クリーンインスト後、１週間も経ってないのに。

>98
スマソ、漏れのレベルじゃその位しか分からぬ
ちなみに、漏れのノー�dと黒氷が一時、衝突して黒氷に赤斜線が
入って使えない状態になり再インスコしたら直ったから
何故、直ったかは不明

>97
セキュ板らしくなって来た　なんだかウレシイ

ﾌﾟ
何この糞スレ

>>97
Ping of Death
SYN flood
Ping flood
全部同じものじゃないんですか？

>>はい？SYNfloodとか仕組みが全然違いますが。

否定はしても正しい答えをきちんと述べられる人あんまいないね。

>>103
googleで調べたら出てくるのに、一々答える必要あるのかな？

>>101
Death系とFlood系は違うものだがDoSの一種であるという点では同系。

Death系はツール（コード）の数だけ名前があるからとにかく似たようなものが多い
のだが、とにかく何らかのシステム・バグを突いてシステムをハングアップさせる類
のもの。Nukeとかいうのも同系。

ping of death, Ping o' Death, ping-death, ICMP bugとかいう名前で呼ばれるICMP
バグを利用したものが古い。

Floodはたくさんのパケットを送り込んでリソースを消費するタイプのDoS。落ちる
か接続不能になるか接続しにくくなるかややパフォーマンスが落ちる程度か色々。
送るパケットのタイプ、送り方によって複数ある。

つうかそうやって叩かれるなら説明すればいいんだろ。
SYNfloodつうのは簡単に言えば3ウェイハンドシェイクをうまく利用した
攻撃（脆弱性とまではいえないよな）でヘッダを偽装したSYNパケットを
送りまくり相手の鯖はACKとSYNをクライアントにおくりその返答を
待つわけだが偽装してるからとうぜんかえってきませんってわけ。
漏れが面白いと思うのはsmurfかなあ

smurfなんてくらう香具師が馬鹿

>>105
そうだったんですか。
教えていただいてありがとうございました！

>>107　今の技術じゃDoS攻撃を完全に防ぐ手立てがないのことをご存知ですか？
利用される脆弱なネットワークなんてこのよに幾らでも存在するし
身元がばれないのもいいと思う。一応口だけじゃなく実際にできますよ。
プログラムかけますし。（たいしたものはかけないけど）

ここは知識を誇示するところですか？
かりに攻撃の手法を知ってたとしても板違いです。死んでください

>110
死ぬこたぁないと思うのだが…
守る方法を勉強すると知らず攻める方法も分かってしまうわけよ。
自分は自分に利する行為しか実行しないけどな。

>>111　セキュ板はごく稀にしか知識人がいないから
知識の多さをひがんでくるんじゃないの？ｗ

知識の誇示かどうかは別にして、話がスレ違いになりつつあるとは思うな。
もっとも、黒氷関係の話題も大して無いと思うが

ガイシュツかもしれないが
黒氷（IDS）の弱点でも書く？

>>114
お願いします。

つうかRealsecureって体験版あったんだね。
140万とかするソフトに体験版なんてあるんだな。
つかってみようかな　

みなさんセキュリティレベルどのくらいにしてますか？
最高にするとSPI見たいな感じで外部からの通信はすべて遮断されるんですよね？
内部から要求がない限り。これって外部から通信する方法で
突破される可能性或るんですか？要求されない限り無理ですよね？

IDSは、ある条件を満たせば、落ちる
世の中、完璧はない

>>118　まあ新しい攻撃にはあんま対応できないし。
そのソフトウェアのバッファオーバーフローもありうるし。
だけどRealsecureの大企業向けの奴とか本当に堅牢そう。
完璧なさそうだけど俺はあると思う。TrustedOSとかで特に
A1レベルなんていったら無理だと思われ。

堤さやかちゃんの引退記念作です。
可愛らしい顔に大きなオッパイ少女っぽいパンティーがそそります。
絡み自体はいたってノーマルですがこの子がやっているだけで下半身に血が集まります。
本気で感じている姿はやっぱいいですね。
モロ見え動画を無料でゲッツ！！
http://www.pinktrip.com/

black iceってファイアーウォール機能あるんですか？

>>121　あるよ。IPSって書いてあるでしょ。
IPSって簡単に言えばファイアウォールとIDSの一体型みたいなかんじ。
だけど黒氷のファイアウォールはイマイチ

>119
軍用目的で利用されてきたOS
しかし、ペンタゴンも毎年、数万のアタックを受け
侵入を許してる事がある限り、やはり完璧はないと思われ

IDS<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<ｽｰﾊﾟｰﾊｶｰ

>>114
おい、こら。
早く書け。

http://akademeia.info/　←ネットワークのお勉強ならここで心行くまでどうぞ

IDSは他に比較商品がないようだからどうでもいいですが、ファイアーウオール
の品質についてはどうでしょうか。ちなみに僕はマカフィーのＰＦＷプラスを
使っています。また書き込みを詳しくは見てませんが他社のＦＷを併用
できるんですよね。ウイルスソフトも併用できるんですよね。
そこもいいと思います。ただ約1万円は初心者の感覚だと少し高い・・・。
サーバー用は・・・（以下略。　こんなもんなんですかね、
ＰＣのソフトの値段って。

>125
既に答えが出てる
そんな事も・・・

>>128
だから、おねがいします。

>>127
ウイルスソフト持ってるなら 3900円だぞ。

『RealSecure(R) BlackICE� PC Protection 特別優待版』緊急発売決定！
http://www.act2.co.jp/x_act2main/x_NEWS/News/030829_RBI.html

ふむ、待った甲斐があった。
アナクロな俺はパッケージ版を買うことにしよう。

>>130
おおっ、ありがとう。これは今ソースネクストがやってる価格攻勢に匹敵する
安さですね。これだと断然手が届く。・・・と思っても限定数あり・・・。
ＸＰはもちろん対応でいいですが、95にも対応してくれ〜。

これに付属するＦＷの評価はどうでしょうか。既出？だったらできれば
番号プリーズ。

これって買っても１年経ったら買い直さなくちゃいけないんでしょ？

>>134
買ってもって、ライセンスを一年買うんだよ、頭大丈夫？

パッケージ版出たら買ってやるからな(･∀･)

>>135
一年だったらライセンス消えちゃうんでしょ？

だったら

レンタルでエロを満喫してもビデオを返却しない>>137が居るスレ

初心者の質問で申し訳ありませんが是非教えてください。
社内ＬＡＮからＮＥＴに繋いでるノートパソコンに
AVG と　BlackICE を入れてあるんですが。
頻繁に社内のＩＰアドレスと違うアドレスから
TCP_plobe_other が入ります。
その後、一時的にＮＥＴに繋がらなくなります。
社内ＬＡＮとＮＥＴの間にはＦＷがあると思うのですが・・・。
これって、当たり前の事なんでしょうか？

これ買ってから１年でライセンス消滅しちゃうの？
継続するには3900円も払わなくちゃいけないの？

>141
(　ﾟдﾟ)ﾋﾞﾝｺﾞｰ

そんなっっ！

そこらのPC売ってる店でライセンスは買えないの？

糞住人だな

いよいよあした発売か・・・

プレクマンセ〜

ICEWatch 入れたんですが、起動しても何も表示されないです。

今のdemo版は15日しか使えないのか
前は長すぎたのかもしれないけど世間並みの一ヶ月くらいにしとけばいいのに・・・

BlackICE買えねー、エラーだ…どうしよう。。

嘉手納・池子・佐世保の米軍基地からここ数日アタックが多い。
kadena.att.mil.ne.jp 165.76.129.109とか。
なんででっしゃろ。

BlackICEを極めるスレはどこですか？
ヘルプをみてもアプリケーション制御とかその他使い方が意味不明。

近所の店では特別優待版売ってなかったよー
売れ残りの通常版は一個だけあったけど7500円ぐらいした

（・３・）　アルェー　これなんで「BlackICE」って言うNO？

アメリカのICEってとこが作ってるから。

デモ版は、どこで手にはいるの？

あらあら、幼児が増えたな。

>> 154 元々 NetworkICE ってとこが開発元。

>> 156 www.blackice.jp にでっかいリンクがある。

>>157
（・３・）アルェー　幼児かYO!
　　　　じゃあ今はなんで「Black」なのかおしえてYO!

>>158
何故、「ぼるじょあ ◆yBEncckFOU」なのか教えてくれYO

>>159
（・３・）エエェー　気にするなYO

>>158 会社名が NetworkICE で、製品名が BlackICE だったの。
Black に今も昔も無いの。

>>161
（・３・）エエェー　ありがTO!
　　　　でも結局、なんで「Black」なのか分かる人はいないのNE

ずばり
腹黒いソフトなんだYO！

工エｴェｪ（・３・）ｪェｴエ工工

黒い悪漢から守ってくれる氷のようにクールで硬いヤシ
という意味

黒氷の作成したチームは
スニッファーを作成した暗黒チーム
発売当初は非難を浴びる程、嫌がれてた
ちなみに、Q&Aで黒氷はスパイウェアですか？
っと言った項目があるYO（ディフェザーの時代）

これはら抜き言葉ではないな。
もはや意味が解らん。

やさしく教えて（ハート）
１、
BI3,６について、
アプリケーション制御有効にせず、プログラムの実行制限も有効にせず
でも大丈夫でしょう？　起動の時の確認メッセージとか終了さす前の
メッセージがでなくなるわけ？　トロイが通信していてもわからなくなる？
２、
ノートン２００３といっしょに使うと、BI3,６は役にたたないの？
３、
http://www.isskk.co.jpから、使用説明書ダウンロードできますか？
ここのは、オンラインでないと読めないのですか？

>>166　スニッファってLANアナライザじゃないの？
ARPspoofingとかできるのかな？

>168
1 黒氷のみをインスコしてる場合は
プログラムの実行制限を有効にすべし
2　黒氷とNIS2003を併用してる場合は
お互いが、弱い部分を、補ってるから
併用するのが望ましい

>>169
蒙古死ね。

>169
黒氷の場合はパケットキャプチャ
ゲートウェイでスニッファを仕掛けて
全てのパケットを監視するのが目的
これによって、偽装パケットをシグネチャと
照合して、不正なパケットであれば警告か遮断する仕組み

黒氷でスニッファだけを抽出して使うのは、メンドクサイ
UGに逝けば、日本語でもっと使い勝手の良いツールがある

もう少し愛らしいトレイアイコンと、ノートン級の重量デザインが欲しいなぁ。

ノートンがBlackICEみたいに軽量感があったらいいと思う事はあるが、その逆は無いな。

危険レベル　RuxTick_Request　バックドアへのポート22222/TCPにおける要求
ｷﾀ━━━━━━（ﾟ∀ﾟ）━━━━━━!!!!!

今ライセンス購入して評価版から正式版に移行しますた

まだ優待版パッケージでおいてあるかな。連休忙しくて手に入れ損なっちゃったよ…

>>176
オレ今買ったからまだあるよ。
優待版のダウンドーロ版で\3900-
最強に安い

>>176
パッケージか。
死んでくる・・・

これって自分で定義を新たに作れたり修正できたりする？

>178
死ぬ事はない。明日秋葉に行ってくる…

>>180
amazonに一つだけ残ってたぞ。氏ね。

>>181
氏ぬのは>>180じゃなくて>>178だよ

正しい正しくないは良いからさ、氏ぬとか氏ねと言うのはよそうよ。

LAOXでちゃんとパッケージ優待版買えたよ、満足。

優待版を買った香具師に質問！
サポートの有効期限は？

>185
マジで回答するよ。2005年3月31日。

＞170
168です。ありがとう。
ノートンのプログラム制御の内、手動制御でblackd.exeを許可してみました。
BI３、６をさきに起動するとノートンの「統計を表示」の「ネットワーク接続」に
BIも出ますが、ノートンがONだとノートンがひろってしまうようです。
これで良いのでしょうか？
１、
ノートンのプログラム制御とBIのプログラムの実行制限は、
どうすればよいのでしょうか？
２、
ノートンを突破したものが、BI３、６で防げる場合はあるのでしょうか？
３、
ノートンの「インﾊﾞｳﾝﾄﾞとアウトﾊﾞｳﾝﾄﾞのICMPのデフォルト遮断」が、
BI３、６では「TCP_Probe_MSRPC　（port=135あてのもの）」にあたっている
ようなのですが、これで正しのでしょうか？

漏れは通常パッケージ版
２００５年１月４日・・・
優待版の方が期限が長いのか・・・

オレも優待版だけど2005年1月4日だ。

>187
1　ノートンをON　BIはOFF
理由はBIを初めてインスコした場合は既に
存在するプログラムについては許可リストを作成されるから
BIをインスコする前に、トロイに感染してる場合でも許可するから
2　FWとIDSは監視する所が違う
FWの場合は偽装パケットまでは、監視出来ない
IDSは偽装パケットを主に監視してる
余談ではあるが、NIS2003のIDSは、おまけレベル
3　正常　MSブラスターがノックしてるだけ
どうしても、ウザイ場合はフリーのハニーポットを使うべし

…「ライセンスの有効期限」でいいんだよね？2005年3月31日。
でもソフト側から呼び出すと4月7日だなあ。それにしても違いすぎる…

ソフトからのサポートの有効期限でおながい
優待版の方が安くてサポート期限が
長いって・・・　＿|￣|○

そもそもなんで期限が1年以上あるの？

>>193
黒氷の場合は初めてインストールした日から1年間使えるって理由じゃなくて
シリアルで有効期限を決めてるからだと思う。

優待ダウンロード版でも2005年以降まで使えたら面白くないよね。 (^^;

>>194
なるほど！くじ引きみたいで面白い期限設定だね。
ひろゆきっぽいアイデアだ。。。

何処かに2015年迄の尻あったな！

>196
それは不正シリアルです(w

うちのServerProtectionは2021年迄

アイコンに左上から右下にかけて斜の赤線が入るのですが
どういうことでしょうか？

右上から左下に斜線が入るようになったらもう一度レスしてください。

しつもーん。未だに2.9carなんだけどまだ大丈夫かな？

アイコンに右上から左下にかけて斜の赤線が入るのですが
どういうことでしょうか？

そんな症例は聞いたことがありません。

>201
新しい攻撃に対応しないだけ

>201
うPデート

うPデートは>202

>201はバージョンうP

>>202
Ｗｉｎｄｏｗｓバージョン等使用環境を載せて下さい。
また、赤線の入るタイミングや入った状態の長さなど・・・
詳細をキボンヌ

>>202
使用期限切れて無効になってるってことか？

アップデータ落としたくてSSLでユーザー登録したら、
登録内容がぜーんぶ書かれた登録完了Eメールが送られてきたって…
SSLで送信した意味ないじゃん。どうよ？

気づいたんだけどさ、BlackICEのアンインストールってどうやるの？
プログラムの追加と削除にもなかったしアンインストーラらしきファイルもないんだけど。

>>209
そんなはずはない・・・

>210
だよねえ…再インストールして消せばうまくいくか検討中。

普通にプログラムの追加と削除にありますが？

＞190
187です。ありがとう。

BI3,6を、-ttps://grc.com/x/ne.dll?bh0bkyd2（シールドアップ）に接続して、
COMMON　PORTS　をクリックすると、204.1.226.228がセキュリティを調べます。
BI３,６の場合には、Solicited TCP PacketsやPing Echoに関しては、OKでした。
Unsolicited Packets: RECEIVED (FAILED) ?となって、counter-probesが
あるとされる。これは、BI３,６が攻撃者のDNSなどを調べるためでしょうか？
ところで、
この後、ノートンとBI３,６を有効にしてインターネットに再接続したトタンに、
TCP_Probe_Otherが来ました。
IP: 204.1.226.228　　これは、先のシールドアップのIP。
DNS: shieldsup.grc.com
42398ポートから、0ポートへ、TCP_Probe_Other
port=0&reason=NOanswe　　　
ノートンより先に反応しました。ノートンをすり抜けたのでしょうか？
これは、ノートンの「統計を表示」のネットワーク接続に
BLACKED.EXEが表示されているときでした。

>213
advICEのボタンを押せ
話はそれからだ

今日特別価格パッケージ買ってきて入れてみたけど
軽いしこりゃいいや

○ートンなどに比べたらやっぱり軽いと漏れも思います。
フリーのものはセキュリティ最高レベルにするとかなりマシン
パフォーマンスが落ちるものもあるし、その点でいったら
ＢＩＣＥは優秀なソフトなのかもしれない。

このスレが一番上にあってビックリ記念ﾊﾟﾋﾟｺ

>>208
そういう企業って多いよ。
プライバシーポリシーなんて真っ赤な嘘。
管理が全然なってない。
だって社員の個人PCに顧客情報を保存してた入りするんだから。

ましてセキュリティ製品を扱う会社がそれじゃあ駄目駄目。

アタックが全然来ないのもさみしいね（´・ω・｀）ｼｮﾎﾞｰﾝ

ディフェンダーとPCプロテクションの違いを教えて下さい。

＞214
213です。ありがとう。
TCP_Probe_Other 　/2003102/
「このイベントは失敗した試みに対して生成されたもので、心配する
必要はありません」。、、、、そうとは知りませんでした。

MSBlasterよりも、新しいワームが出ているそうです。
Ping を発信し、応答があった135/TCP に接続し、dllhost.exe、svchost.exe
というファイルをダウンロードし、実行するというものらしいです（同名の dllhost.exe、svchost.exe ファイルを間違えて削除しないようにしてください。別の場所に
同名のファイルを作るらしい）。
最近、 Pingが増えたのはこのせいでしょうか？

>221
このワームが濃厚

http://advice.isskk.co.jp/security/ice/advice/Intrusions/2113022/

＞222
221です。ありがとう。
SQL Slammer ワームは、重大度７（赤マーク）ですね。
W32.Mapson.D.Wormの事だったのですが、こちらはなぜか
重大度１みたいです。
回避策の一つ＝＝＝　ポートを閉じると良いらしい。
TCP/UDP 135ポート
UDP 137ポート
UDP 138ポート
TCP 139ポート
TCP/UDP 445ポート
TCP 593ポート

新しいパソコン買ったんだけど、今まで使ってたのそのままインストールして
使ってもいいのかな。
期限は2005年1月なんだけど。

ウイルスバスターは一台限りで他のパソコンには入れられなかったから。

そのまま使って問題ない！

使わなくても問題無いよ！

質問なのですが、
アプリケーション制御って
なんか新しいアプリは
全部終了させるか聞いてくるかするんですね。
接続しようとするアプリのみ反応させる方法は無いんでしょうか？
今はしょうがないのでZoneAlarmとBlackIceを併用して使ってますが・・。

>>227
> 接続しようとするアプリのみ反応させる方法は無いんでしょうか？

ない
全てを監視するというポリシーの機能なんだから

インストールモードを無効にした後のチェック中に
ProUtil.exeのアプリケーションエラーで落ちるのは俺だけ？

>>225
ありがとう

9月1日以降σ(・・)PCにこの頃全然攻撃がないんだけど、ソフトちゃんと動いてるのかな？
それともハッカーが攻撃しなくなったんだろうか？（+　+) =うーん

>>231
ttp://scan.sygatetech.com/

>231
うちは今日の9時半でログが止まってるな。なぜだろ。

http://scan.sygatetech.com/
↑これネェ

>>231
そんなレベルでBlackIce使ってるのが不思議

今日初めて使ったんだが、侵入者どんどん来てる。
こういうの、普通なの？

　＜＜236　それが普通です。

＞＞236　それが普通です。

侵入者は、タイーホ出来るのですか？

>>239 DoSとかに関しては送信元偽装はとても簡単だから
偽装してる可能性がある。

ウェルノウンサービスを利用できるかどうか調べてる
って、どういうこと？

穴があったら入りたいのが蛸の習性なのです。

オレも肉壷あったらぶち込みたいなぁ

http://scan.sygatetech.com/
↑PCのファイアーウォールのセキュリティーチェック上記もいいけど
下記のサイトもいいよ！
セキュリティーチェックはここがお勧め
https://grc.com/x/ne.dll?bh0bkyd2
http://grc.com/x/ne.dll?rh1dkyd2

https://grc.com/x/ne.dll?bh0bkyd2
http://grc.com/x/ne.dll?rh1dkyd2
上記のサイトの【all service ports】がお勧め！
OPENのポート、CLOSEDのポート、STEALTHポートなどが
詳しく出てきます。ここで開いてるポートを調べると、
自分のPCのファイアーウォールの弱点が一発で分かり
ますので、対処できますよ

https://grc.com/x/ne.dll?bh0bkyd2
http://grc.com/x/ne.dll?rh1dkyd2
　上記のサイトの日本語解説のHP↓
ここを見ると、検査結果＆使い方が
分かります。

http://www.upsizing.co.jp/news/report0426.htm

ShieldsUpくらいBI使ってるくらいの人は知ってるよ
最近ページ構成変わったのになんでそう古い解説サイト持ってくるの？

あげ

いつのまにか防御レベル「なし」
設定していたファイアウォールのルールもすべて消えてました。
どこかに穴でもあるのか、ちょっと心配になりました。

>>249
（・３・）エェー　そんなことあるのかYO

自分も一回あった。

工エｴェｪ（・３・）ｪェｴエ工工

|∀・）・・・ﾎﾞﾙｼﾞｮｱ

>>251
（・３・）エェー　ボクもあったから使うのやめたYO

（・３・）アルェー　華麗に255getだYO

[不正アクセスの試み]
　このシグネチャは、書式制御文字を含んだ長いシステム名を含む
　DNS 照会を検出します。これは、攻撃者による DNS サーバーのシャットダウンまたは
　侵入の試みを示す可能性があります。

↑これを81回と、

[疑わしいアクティビティ]
　このシグネチャは、最長を超える長さのドメイン名を Microsoft DNS サーバー
　が検知したことを示す Windows イベント ログ メッセージを検出します。

↑コレを44回食らったんだけど。。。

>>256
ふーん
で？

(　´_ゝ`)

「侵入者」の中に「自分」が結構いるんだけどこれは信頼して良いの？

>>259
漏れも！
192.168.1.1が侵入者になっている！ｗ
ハッキングされたのかな？
しかも、サービス拒否攻撃しているし。

サービス不能攻撃の間違いだ。

自分のアナルに自分のチンポ突っ込もうとしてるようなもんだな

青い玉が賢人トンのトラックボールみたいだな

日本の正規購入者へのアップデートより外国の割れのアップデートの方が早いのは既出ですか？

>>249
黒氷に限った話じゃないよ。
俺なんか以前、MSのパッチが一気に６つも消えて
ビックラこいたことある。

（・３・）エェー

よく赤い線がアイコンにかかるのですがなぜですか？

>>267
プログラムが複雑だと、よく起こる現象だ。
ノートンだってバスターだって不安定になることはあるしね。
気にしなくていいよ。
もし数分たっても回復しなかったら、
エンジンが稼動しているかを確かめよう。
通知領域のアイコンを右クリック。

DNS_Malformedってやつが今朝は多いけど何か流行っているのかな。

>>268
親切解答ありがちょん！

そういえば特別優耐盤をダウンドーロして買ったんだけど
BlackICEサイトの説明では「今お使いのセキュリティソフト名を
お知らせください」って書いてあったけど購入フォームには
そんな入力項目無かった。

この事実を知った人のみのサービス！？
まあ、本当に使ってるかなんて確認のしようが無いからね。

質問があります。
BlackICEを使っているのですが、イベントタブや侵入者タブのログが、
よく消えてしまってます。
たまに、元に戻るのですが、これってバグでしょうか？

それと、ノートンアンチウィルスが、C:\Program Files\ISS\BlackICEの
log59.encというのを、今まで２回、VBS.Network.Eに感染していると言って
削除しました。
これって、トロイの木馬とか仕掛けられているんですかね？

ログもまともに表示されないし、ウィルスは感染しているわで、何かしょんぼり
しています。

ちなみに、怪しい実行ファイルとかを実行したことはありません。
BlackICEのバージョンは一番新しい奴です。

この不可解な現象が何かわかる方教えてください。

>272
スマンテックで検索すれば、分かる事を書くんじゃＮＥ
http://www.symantec.com/region/jp/sarcj/data/v/vbs.network.e.html

オレもログが消える。
なんで？なんで？なんで？

>272
そのファイルはキャプチャされたパケットログファイル。
と言えばどう言う事か理解できますよね？

>>275
分かりません。

>>273
>>275
つまり、パケットログにウィルスソースと同じのが混入していて、ノートン先生が
誤作動していると。

2chでもソースを貼られるだけで、誤作動しますからね。

>>274
なんででしょうね？
漏れもよくログが消えます。
でも、たまに復活したりもします。

ログが消えるというか多くなりすぎると勝手に隠すよね
表示ログをある程度減らしたあとにログが増えるとまた表示される

最近sub7の攻撃をよくくらうのだが
流行っているのか

それより、外国の割れよりサポートが遅くて萎えるんだけど。

>>279

Sub7結構ログに残ってた！！(SQLｻｰﾋﾞｽなんか漏れはしてないし)
侵入者IPが海外でしかも、特定不可能みたいなのでほっとくよ。
遮断してくれてるみたいだし・・・

ログを溜め込んだらいいことあるのか（・３・）

おいおまえら！
BlackICEのhostsフォルダを覗いたら2万個以上ファイルがありましたよ？
消すときはコマンドプロンプトからじゃないと一苦労ですよ？
注意しましょう

>>283
なんでウインドウから消すとダメなの？

>>284
開くのだけで一苦労

フォルダ消して作り直すんじゃだめなの？

ツール−＞ファイルのクリア−＞アタック・証拠・ログ
みな消せる

>>287
それじゃ消せないと思う、というか消えなかったから2万個以上ファイルが溜まってた

3.6cbuｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!

http://www.act2.co.jp/x_act2main/x_DWNL/updater/RBI.html

まだファイル自体はない？

すまんキーがいるのか

ﾔﾀｰこれで正規ユーザなのに英語の最新版割れ使ってた呪縛から逃れられるー

ブロックはするけどアタックを表示しない設定って出来るんですか？
135が来すぎて他のが埋もれちゃうから
135のアタックはブロックするけど非表示にしたいんだけど
右クリック→イベントを無視を選ぶとブロックせずに無視して通しちゃうの？

このソフト、いまいち日本語の細かいニュアンスがわからん…

>287
hostsディレクトリのホストごとのテキストファイルは288で言う通りで、
直接消さないとだめッス
あと、パケットログも取ってくれるのは便利ッス
キャプチャされたパケット内容は（.enc)ファイルはフリーのEtherealで見られるッス
これが便利で使ってるッス　てぃひひひ〜

act2さんよー
差出人と件名見てスパムメールかと思ったよ
危うく消すところだったよ

3.6 cbr使ってるんだけど、cbuにアップグレードするには、「最新版フルインストーラ」と「旧リビジョンから最新版へのアップデータ」のどっち選べばいいの？

漏れはアップデータをインスコしたよ

>>297
サンクスコ

BlackICEが61.211.225.93にアウトバンドTCP接続しようとしたのですが、
これって普通ですか？
ノートン先生が警告した。
ＩＰアドレス調べたら、さくらインターネットだっけ？
何かBlackICEと関係ない会社だった。

>296
最新版フルインストーラはアップデータとマニュアルpdfファイルの詰め合わせ。
実質両方とも同じ物。
ややこしい配布するなact2。

毎度のことだけどファイアウォールの設定が消えちまうんだなこれが・・・
インスコしてから設定はメモしておいて下さいって出るけど
毎回手遅れ・・・

(´･ω･｀)ｼｮﾎﾞｰﾝ

>>299
心配なら許可しなきゃいいんじゃない？
アップデートチェックを自動でしないようにするとか。

はじめての赤ｷﾀｰ!!
2003/10/15 15:04:52, TCP data changed, www.srmj.com, 1
[回避] 攻撃者は、TCP 接続のハイジャックを試みている可能性があります。

…スーパーリアル麻雀？

>>302
許可しないようにしたけど・・・アップデートチェックに関係ない会社のＩＰアドレスに
送信するかな？

そもそも、アップデートチェックしていても、今回のバージョンアップ、メールと、
２ちゃんねるでしかわからなかった。
アップデートチェック本当にしてんのかいなｗ

>>304
http://www.blackice.jp/ ブラウザでみて
ノートンの接続ログみてみれば61.211.225.93になっていると思うよ（多分）

>>305
BlackICE ウィンドウの右上隅に小さなアイコンが表示されるだけ

>>306
ちゃんと61.211.225.93になってました。
すんません。調べてもらって。

右上隅に小さなアイコンが表示されるだけなんですか？
だから気がつかなかったんですね（＾＾；

まあ、メールでバージョンアップの通知が来るから、アップデートチェックいらないですね。

さっきまで同じ香具師から
五万回近くport８０を叩かれて非常にうざかった

というかそいつは何回も色々こっちにいつも攻撃してくる香具師なんだが
なんなんだろう？

>>283
ホントだっ！
全部、消したら前より動作が軽くなって安定した。

>>309
普通にデリートしていいの？hostフォルダの中身って

個人では必要ないね
設定のバックトレースタブの「DNS 参照」と「NetBIOS nodestatus」のチェックを外さないと
また溜まっていくから外しとけよ
パケットログ、証拠ログもいらない

https://grc.com/x/ne.dll?bh0bkyd2
↑ファイアーウォールセキュリティチェック

hostフォルダ気になったから観てみたら17ﾏﾝｺもあったよ
消すのに一苦労したよ・・・
ログ取るのはもうやめよう・・・

>>269
さっき私のPCに DNS_Malformedという攻撃を数回受けました。
無事に防いだけどネェ！どうやらこの攻撃はやっているみたい・・・

【この攻撃に対しての説明】
[疑わしいアクティビティ] このシグネチャは、不正確な (不正な) DNS パケットを検出します。
このようなパケットはシステムのクラッシュを試みる攻撃者によって意図的に組み立てられた
可能性がありますこのイベントは、プロトコルの仕様に従っていない DNS メッセージが検出さ
れたときにトリガされます。 DNS サーバの中には、 このようなパケットを受信するとクラッ
シュしたり、 破損するものがあります。
【さらに詳しい説明】

このようなパケットが検出される原因として以下のものが揚げられます。

ハッカーがシステムへの侵入を試みている。
ハッカーがシステムをクラッシュさせようとしている。
ハッカーが DNS によって予約されているポートを使用して
他のプロトコルのトラフィックを送信している。
ネットワーク上に設定ミスかバグがある。

>>308
あくまでも推測だけど、行儀の悪いロボットでは。
俺も似たような経験あったけど、ＩＰ調べたら、少々札付きの
ロボットだった。

>>315
いや
ＩＰは普通のプロバイダーだった
（だから接続変わる都度にＩＰも変わるので対処がめんどくさい）

プロバイダーへの通報の方法っていうのも
ヘルプを読んだがどうもよく分からなかった

そんなことで通報かよ・・・

>310
>313
17ﾏﾝｺってｽｺﾞｯ!!
消す時はhostsフォルダごとのがいいよ
で消し終わったらhostsフォルダを付くってOK

それとhosts内のファイルは強制的に保存されちゃうから
長く使えば使うほど溜まるから定期的に削除した方がいいみたい。

>>318
>>311

ｎｙ用にPFWに穴開けてるけど、ｎｙを終了すると
「一般的ではないポートに向けられたTCP調査・・・・・」
とかが出てくるけど、これは何で？

>>320
うーんそんな単純なメッセージの意味も分からないならＢＩ使うべきじゃない
メッセージを読むためのソフトなんだからさ

>>321
おお肝心な部分を読み飛ばしていた。
ポートアクセスに「失敗」すると出てくるんだな。
だからｎｙ終了してるとｍｓｇが出るってことで、よろしいでしょうか？

また正規ユーザなのに英語の最新版割れ使う時代に逆戻り…

英語版買えよ。半端は（・A・）ｲｸﾅｲ

ていうか日本の対応が遅いんだよ〜

hostの中身っていったい何が溜まってるの？
消していいの？

>>317
今度は同じ香具師から真っ赤なやつで
[不正アクセスの試み] このシグネチャは、「.cmd」ファイルに対するすべての HTTP GET 要求を検出します。
これは、HTTP_IE_BAT シグネチャを置き換えます。

ってやつがきたよ
いったい何をやりたいのか怖い

ＳＮＯＲＴとダブルで入れてる人いますか？

ファイヤーウォールのデフォルト設定tcp 113 がallow だけど
これなんで？ふさいじゃまずいの

>>329
メールの送受信に支障がないのなら閉じても問題ないと思うよ。

>>329
IRCでスムーズに鯖につながらなくなるとかある

3.6cbuにバージョンアップしたら、イベントのTCP_Probe_Otherの攻撃の重大度の表示が
3.6cbdを使ってた時は『警告』だったのに、『注意』に1ランク下がって表示されるようになりました。
別に問題ないのでしょうか？

TCPの28031が叩かれまくってるんだがまたなにか流行の兆しでもあるのか？

ルーター買えって言われてるんだろ

たまにNT系で起動時に赤の斜線入ることある。実害はないが早く修正汁。。

イベント名は忘れちゃったんだけど時々
侵入者　0.0.0.0　　　　宛先ポート　80
に何百回としてくるのがあるんですがコレって何？
送受信のモニター画面見てると
IRCぐらいしか繋いでないのに
なんかやたらと送受信してるし・・・

>>336
折れも同じ様な症状ですが、ちと環境が違うので投稿しますが、
Ｗｉｎｎｙ用のポートを指定して空けますよね（仮に11234とかにします。）
そしたら、暫くすると（それまでは普通にwinnyと通信しています。
ルータでちゃんと指定のポートが空いていてＥＳＴＡＢＬＩＳＨＥＤと表示されす。）

ある時突然、その11234ポートにTCP_Probe_Otherで大量にいろんなＩＰが表示。

それだけなら別に問題ないのですが、その中になぜか、DNS名は表示されるのに
ＩＰが0.0.0.0となっているものがあります。そしてこれがなんとずーとそのポートに
アタックしてくるのです。IPが0.0.0.0表示なので、右クリックで遮断出来ず。
DNSからＩＰを逆引きして、ＩＰを見つけて遮断しても効果なし。ほっておいたら
6時間位で、カウント2500近くになっていました。Winnyは、ポート異常で停止してました。

ちなみにこういう症状は数回あります。アタックしているDNS名は、*-*-*-250.cust.*.ne.jpだったり、
PPP****.tokyo-ip.*.ne.jp　だったりします。

また、よく見てみるとアタック事に発信元ポートの番号がランダムに変わります。
一度、アタックが始まるとwinnyを終了しても終わりません。
ポートを閉じるとアッタクは無くなります。

仕方ないので、空けるポートを変更します、そしたら暫くは、おとなしく使えます。
そして、ある時、突然同じ状態に…
なんか見つかっちゃうとまた、上記のと同じ事の繰り返し…という感じです。

実験的にルータからＤＭＺの設定にするとこんどは、適当なポートで上記の様な事が
始まり。つまりwinnyの起動や動作とは関係無いみたいです。
空いているポートが見つかると執拗にアタックするみたいです。

IPが0.0.0.0で、ＤＮＳ名と違うから詐称かも知れませんがこれは
どういう類のアタックなんでしょうか？

プロバイダーは、yahoo BBです。BlackIceのバージョンは、3.6ｃｂｄです。

長文スマソ　よろしくお願いします。

ついでに書きますとルータで普通にNAT変換しているとBlackIce君は、
なーんにも反応せず平和な日々が続きます。

また、余談ですが、yahoo BBのコンポモデム（ブリッジ接続型）にＰＣ直結しますと
一分マイに目が赤く点滅してウザかったです。
ちなみに、ルータのＤＭＺ設定と全く同じ症状でありました。

ルータ無しで、ＰＣ直結して使っている人は、いつもあんなにアタックとくらって
いるのでしょうか？

>>337-339
NY厨の犯罪者はﾀﾞｳｿ板へ帰れ。

そう言わずに…(´･ω･｀)
Winnyしてなくても、同様の症状が起こるのですが…
おそらく、折れだけじゃないと思います。

>>341
そう言わずに帰ってくれ。

>>339
これで｢アタック｣が！？
とか言ってる奴がBlackICEの正規ユーザーの可能性は恐ろしく低い。
頭のレベルをアップさせて来てくだされや。
Nyとかやっている事が気に入らないので教える気は無い。

>>339
一応、正規ユーザーですがね　（ｗ

>>320-322　みたくご教授願えると思ったのですがね、323みたいな香具師には
お咎め無しかいな変な奴らだな。

しょうがないからバージョンアップして聞いてみるわ、返信何時くるか解らんけど。（ｗ
板全体読んだけど、全体的にみて、ここの連中皆、正直スキル低いね、折れもそんな
高くないけど、ほぼ同レベルかそれ以下だね。

教える気が無いのではなく、わかんないんだろ正直に言えよ。

サポートから返事貰ってもここには、答え書かんからな、そのつもりで

ｎｙやっている香具師が犯罪者と決め付けている所が低レベルなんだよ。
セキュリティーとか本当に勉強してんの？
なまじ、セキュリティー関係を考える時「決め付け（先入観）」は
一番、禁物なのだよ。そんな事も解らんのか？

逆ギレの339でした。

アクツーになってから初めてのサポートだけど、ちゃんと伝わるか心配だな。

トレースのとこの設定でnetbiosで引くってオプション
ありますけど、これってみなさんオンにしてますか。
ウチはwin2kですがネットワークの設定では
netbios関連のを全部オフにしてるんですけど
こういう環境でもblackiceのnetbiosでの
トレースってできるんでしょうか。
ていうかもしできるとなるとなんだか
それ自体がまた新たな穴になったりしないかも
心配なんですけど。

ﾏﾝｺｰ

　|　　マ　　タ　　ー　　リ　　ち　　よ　　う　　！　 　　 |
　＼＿　 ＿＿＿＿_　_＿＿＿＿__　 ＿＿＿＿_　＿／
　　　　∨　　　　　　∨　　　　　　　∨　　　　　　∨
　　∧ ∧　　 　　 ∧ ∧ 　　　　∧ ∧　　　　　∧ ∧
＼（*´∀｀）　 ＼ (*ﾟーﾟ)　　 ＼（*・∀・）　　＼( ﾟДﾟ)
　（＿＿）　　　　（＿＿）　　　 （＿＿_）　　　 （＿＿）

>>344を見てこれに受け答えするサポートの人も大変だなとｵﾓﾀ

ぼくも、>>336さんと同じような現象で悩んでいたのですが、339の逆ギレで、
結局、明確な解答を得る機会失っちゃいましたね。

そもそも>>343みたいのが知ったかして、煽るのがいけないんだよ。
なんか板も荒れ模様になっているし。

教える価値なしとか、割れ使っているから無視とか、そうゆうのはやめてくれ。
ここはセキュ板なんだから、質問と答えだけにしてくれ。

BlackICEなんか使ってる時点でスキルなしｗ

>>349
何故、セキュ板でNY厨や割れ坊が馬鹿にされるのか教えてやろう。
1 住人はソフトウェア関係者が多い。自分の飯の種を盗んでいく奴を排除するのは当たり前だ。
2 何が仕掛けられているかわからない割れ物を、平然と実行する馬鹿がセキュリティを気にするのは矛盾。

>>349
まずそれはBlackICEの問題なのかそれ以外の問題なのか。
とりあえずこのスレで聞くということは、BlackICEに
原因があると推測しているからなのでしょうが、
その推測とはどのようなものなのでしょうか。
せめて何かしらの事が書いてあれば、他の方の反応も
変わるのではないかな。

まぁ、私自身はこの現象に遭遇してないので、
多分何か書かれても、何も助言できないでしょうが。

うぜーから一つだけ教えてやるよ盗人厨。
ファイアウォールの詳細設定を見直せ、BlackICEのだぞ？
設定のマニュアルも読み直せやクソカス、じゃーな。

353みたいなのを見るとたしかにレベルの低い知ったかしかいないと思うよ。

3.6cbuなのですが、タスクトレイに目玉のアイコンが出ません。
インストール直後には出てるんですが、再起動すると出てきてくれません。
どうなってるんでしょうか・・・すいません、教えてください。

>>355
サポートに連絡を取って最新版にしましょう。

>>354
ageるなヴォケ

>>357
物凄い釣り針な悪寒。

セレロン６３３＋５１２ＭＢだとつらいんですかね？？
さっきＯＳごとおっこちました。win2kです。
みなさんどれくらいのスペックで動かしてますか

>>359
K6-2 300MHz 384MB Win2KServer

ブラックアイスってIDSの定義1000以上あるって本当？

>361
ＹＥＳ
フリーのSnortも1000以上
ノートンは127（11/2現在）

3.6cbx出てますね

>>360
マジっすか！
んじゃアレなんか攻撃されたのかなあ
あれ一回きりですが

TCP OS のフィンガープリント
ってよくあることっすか
なんか最近２回ほどありますた

よくあるよ

通知のwavでなんかイイのないかね？デホのwavだと素っ気ない。
「注意が必要です」とか「攻撃を受けてます」とかの音声ファイルないかな？

>>367
自分で作れ

オレが作る

　　　　 　　　　　　　　　　　　　　　　　　　　 　　　　　　　　　　　　ヽヽ
　　　　　 ＿＿＿　　　　　　　　　　　　　　　　　　　 　　　　　──┐　|　　|
　　　　／　　　　 ＼　　　　　　､i,,　　　　　　　　　　 　　　　　　　　/ 　|　　|
　　　/　　 ／　＼ 　＼　､,.i,,.;:"'　　ﾞ`´ｰ,"､-.,,　、　　∬　　　　　ノ　　　　ノ　　┐
　　　|　　　 (ﾟ)　(ﾟ)　　 |"　　　　　　　　　　　 ﾞ　ヽ　　・〜　　　　　　　　ヽヽ 　 ┴
　　　|　　　　）●（　 　|　　　　　　 /　　　 　,ｲ　. ﾞi　　　　　　　　　──┐　|　　|
　　　＼　　　 ▽　 　 ﾉ　　　　　　（　　　　ノ,;(`;､ﾉ　∬　　〜∞　 　　 　/ 　|　　|
　 　　　＼＿＿∪_／　　ﾞi-､＿,v-ｰヽ、　く ；;ﾞ､;;;';）　　　　　　　　　 　ノ 　 　　ノ　　┐
　　　　　　 　￣￣|　　|　　　　　　　ヽ、　）．;!':;'.ﾉ　　∫　　　　　　　　　　ヽヽ　 　　 ┴
　　　　　　　　　 ,ノ　 ﾉ　　　　　　　 __ﾉ　ﾉ,;:（;,:;(　∬　　　　　　　　　──┐　|　　|　　|　　|
　　　　　　　　 (＿_,ノ　　　　　　　 (＿,ノ´,;";:・':;'ﾞ`ヾ　　　　　　　　　　　　/ .　|　　|　　|　　|
　　　　　　　　　　　　　　　　　　　　　　　　ﾞ;"''∵　' :"‘　　　　　

Snortって検知するだけで、ブロックしてくれないのですか？

揚げ

　　BlackICE PC Protectionを使うと他のを使おうとは思わない。
　俺の結論!（他の奴にゴタゴタ言われたくはない。俺に対して権利がないし説得力もないから良いけどね）

　　☆⊂（ﾟДﾟ⊂⌒｀つ≡≡≡(´⌒;;;≡≡≡

>>371
【無料ツールで作るセキュアな環境（13）】〜snortのルール作成：ルールオプション部〜
ttps://www.netsecurity.ne.jp/article/3/2016.html
resp　　：ルールにマッチしたセッションを強制的に切断する。
react 　：ルールにマッチしたセッションをブロックする。
resp
ttp://www.peak.gr.jp/Project/ProjectX/snort/documentation/chap2.html#tth_sEc2.3.22
react
http://www.peak.gr.jp/Project/ProjectX/snort/documentation/chap2.html#tth_sEc2.3.24

他のPFWと併用できるみたいですけど、outpostとの併用はまずいのでしょうか・・？
outpostの方でアンインストールしてください、という警告が出ますけど。

なんかイベントが不明な攻撃がきますた。
マークは？マーク。
このイベントに関するサマリーが見つかりません
てあって、調べると
issueId 3001101
だそうで
http://advice.isskk.co.jp/security/ice/advice/Intrusions/
見ると載ってません。
警告が出たのはちょうどニュー即＋＋のあるスレを
クリックした瞬間でつ。あわてて回線を切りＢＩを見ると
まず某海外得ろサイトからこのissueId 3001101な攻撃があり
その直後(１秒未満後。秒数でみると同時)にニュー即＋＋の
サイトから同じissueId 3001101な攻撃がなされたと表示
されてまつ。同じ経験した人いませんか〜。
同じ経験ある人いますか？

今日インストールしたんですけどなんだか自分のIPアドレスが攻撃しているとログに出ているのですが
どういったことなのでしょうか？
とりあえずは侵入者を信頼すれば収まったのですが、IPが変わるとまたもログがたまっていく有様。
原因がわかる方がいればお教えください。

黒氷入れるとOSごと固まってくれるけど
何が悪いのかな？消すと直る。
XP_Pro_SP1 P4-2.6C(HT) NAV2004 PestPatrol使用

>377
漏れはニュース速報＋何のスレか忘れたが(レイープ物の気がする)、200320が出ますた。攻撃者は素直にnews5.2ch.netって出てたんで、誤検出かな〜なんて思っていますた。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　　　　　　　　　　　　　　>>344→>>349
　　　　　　　　　　　　　　　　間違いなく同一人物

>>379　　　
スレから察すると
　　　ハイパースレッティングテクノロジーに対応しているのか？が気になったよ。

げんざいすさまじいい攻撃を受けてます

時間, イベント, 侵入者, カウント
2003/11/12 08:54, HTTP port probe, ip68-9-117-55.ri.ri.cox.net, 464
2003/11/12 08:54, HTTP port probe, s30.telpol.net.pl, 64
2003/11/12 08:54, TCP port probe, d150-93-130.home.cgocable.net, 6
2003/11/12 08:54, TCP port probe, cpe-66-91-28-146.hawaii.rr.com, 116
2003/11/12 08:54, TCP port probe, cpc3-heck1-4-0-cust17.hudd.cable.ntl.com, 3
2003/11/12 08:54, TCP port probe, adsl-64-58-17-128.mho.net, 148
2003/11/12 08:53, Queso Scan, cpe-66-91-28-146.hawaii.rr.com, 56
2003/11/12 08:53, Queso Scan, adsl-64-58-17-128.mho.net, 72
2003/11/12 08:53, TCP port probe, glenview-dsl.tas.keypoint.com.au, 7
2003/11/12 08:53, HTTP port probe, VERONICA, 18
2003/11/12 08:53, Queso Scan, 200.169.83.54, 40
2003/11/12 08:53, TCP port probe, 200.169.83.54, 8
2003/11/12 08:53, TCP port probe, user-12hcvik.cable.mindspring.com, 5
2003/11/12 08:53, TCP port probe, pool-68-161-112-176.ny325.east.verizon.net, 6
2003/11/12 08:53, TCP port probe, pcp05683093pcs.walngs01.pa.comcast.net, 72
2003/11/12 08:53, HTTP port probe, adsl-19-1-123.asm.bellsouth.net, 12
2003/11/12 08:53, TCP port probe, pool-141-154-74-139.bos.east.verizon.net, 6
2003/11/12 08:53, HTTP port probe, 200.169.83.54, 32

2003/11/12 08:53, TCP port probe, diderot-7-82-66-47-192.fbx.proxad.net, 1
2003/11/12 08:53, TCP port probe, adsl-19-1-123.asm.bellsouth.net, 8
2003/11/12 08:53, HTTP port probe, dhcp024-210-222-235.woh.rr.com, 30
2003/11/12 08:53, HTTP port probe, d150-93-130.home.cgocable.net, 30
2003/11/12 08:53, TCP port probe, host81-132-135-58.in-addr.btopenworld.com, 6
2003/11/12 08:53, Queso Scan, ip68-9-117-55.ri.ri.cox.net, 24
2003/11/12 08:53, TCP port probe, adsl-64-160-47-31.dsl.snfc21.pacbell.net, 6
2003/11/12 08:53, HTTP port probe, ip68-9-117-55.ri.ri.cox.net, 22
2003/11/12 08:53, TCP port probe, cpc5-grim2-5-0-cust111.nott.cable.ntl.com, 190
2003/11/12 08:53, TCP port probe, MV2-24.171.62.136.charter-stl.com, 6
2003/11/12 08:53, TCP port probe, 205-170-14-105.student.coloradocollege.edu, 22
2003/11/12 08:53, TCP port probe, user-3746.bhm23.dsl.pol.co.uk, 48
2003/11/12 08:53, TCP port probe, 24-193-201-51.nyc.rr.com, 6
2003/11/12 08:53, TCP port probe, pcp1n23.telpol.net.pl, 4
2003/11/12 08:53, TCP port probe, 24-148-61-183.na.21stcentury.net, 4

2003/11/12 08:53, TCP port probe, 61.54.112.62, 5
2003/11/12 08:53, HTTP port probe, qq82.internetdsl.tpnet.pl, 18
2003/11/12 08:53, TCP port probe, adsl-67-66-24-112.dsl.rcsntx.swbell.net, 2
2003/11/12 08:52, TCP port probe, ip68-102-173-237.ks.ok.cox.net, 314
2003/11/12 08:52, TCP port probe, xo.dia.66.238.34, 16
2003/11/12 08:52, TCP port probe, user-3746.bhm23.dsl.pol.co.uk, 721
2003/11/12 08:52, TCP port probe, adsl-68-73-119-156.dsl.emhril.ameritech.net, 18
2003/11/12 08:52, TCP port probe, cs6711137-6.satx.rr.com, 22
2003/11/12 08:52, TCP port probe, 67.71.124.86, 18
2003/11/12 08:52, Queso Scan, host112-101.pool21345.interbusiness.it, 8
2003/11/12 08:52, TCP port probe, host112-101.pool21345.interbusiness.it, 16
2003/11/12 08:52, Queso Scan, 162-42-85-129.cybertrails.com, 8
2003/11/12 08:52, HTTP port probe, 162-42-85-129.cybertrails.com, 16
2003/11/12 08:51, TCP port scan, NOTE, 1

時間, イベント, 侵入者, カウント
2003/11/12 08:54, HTTP port probe, ip68-9-117-55.ri.ri.cox.net, 464
時間, イベント, 侵入者, カウント
2003/11/12 08:54, TCP port probe, cpe-66-91-28-146.hawaii.rr.com, 116
時間, イベント, 侵入者, カウント
2003/11/12 08:54, TCP port probe, adsl-64-58-17-128.mho.net, 148
時間, イベント, 侵入者, カウント
2003/11/12 08:52, TCP port probe, user-3746.bhm23.dsl.pol.co.uk, 721
時間, イベント, 侵入者, カウント
2003/11/12 08:52, TCP port probe, ip68-102-173-237.ks.ok.cox.net, 314

VisualRouteで調べなさい。VisualRoute日本語版を買いなさい。
ライブデモ；　http://www.next-it.com/jp/solution/visualware/visualrouteindex.html

↑ありがトン

>>388さん 乙＆ども!

>>382
HTは未対応なのか。残念。

ブラックアイスとウイルスバスター両方入れた状態だと
ポートの開き方ってどうなってるのかな？

ウイルスバスター→ブラックアイス

とかかな？

月刊windowsUpdateやりますた。
win2k sp4。その後再起動して新たに検出されたのは
userinit.exe -> SHLWAPI.DLL
mobsync.exe -> SHLWAPI.DLL
WinMgmt.exe -> SHDOCVW.DLL SHLWAPI.DLL
ですた。これ全部実行ＯＫでいいんですよね。

>>391
ブラックアイスの方が初めの防御をしてくれると思うけど
どちらかに絞って使うべきだ。
バスターのAVの動きを　邪魔はしない
なので　ネット中にシステムへのウイルス混入は防げるよ

時間, イベント, 侵入者, カウント
2003/1X/XX 1X:XX:0X, HTTP_OWC_Vulnerable_Client, www2.ocn.ne.jp, 3
下記のサイトは危険です。
<↓サイト名＆HPのURL＞

【現・預金管理＜サイト名＞】
... 引き出す場合は、２日前までに通知する必要があります。 ４．定期預金・・・一定期間預け入れる預金です。その種類により、利率が異なります ... 異議申立により不渡処分が猶予されます。 偽造・変造・搾取・紛失・盗難 ...
http://www2.ocn.ne.jp/~caravel/caravel03a1.html - 88k

【上記のサイトに仕掛けられていたイベントの説明】
2113017 : Microsoft OWC Spreadsheet コンポーネントの「"=HOST()」式が Internet Explorer を介した任意のコードの実行に使用される可能性
中危険度

クイック リンク

イベントの説明
このセキュリティ チェックがある製品
影響を受けるプラットフォーム
この脆弱性を取り除く方法
参照事項
このドキュメントに関する情報

>>393
初めの意味は
LANケーブル→　ブラックアイス→　バスター→　パソコンの中
WAN寄り ブラックアイス　　　LAN寄り バスター
　　IN　OUTどちらも防げる　ブラックアイスを押す　

上記のイベントの説明

Microsoft Office Web Components (OWC) は、Web ページ上のスプレッドシートやチャ
ート、データベースの発行および表示に使われる、
一連の Component Object Model (COM) コントロールです。 OWC は Microsoft Office
に付属しており、表示専用に別途入手することもできます。
OWC 2000 および 2002 で Spreadsheet コンポーネントを使用しているリモートの攻
撃者は、「"=HOST()」式で setTimeout メソッドを使用する Web ページを作成する可能
性があります。このような Web ページに Microsoft Internet Explorer を使ってアクセス
すると、Document Object Model (DOM) が変更され、被害者のシステム上で任意のスク
リプトが実行されます。

【このような Web ページに Microsoft Internet Explorer を使ってアクセス
すると、Document Object Model (DOM) が変更され、被害者のシステム上で
任意のスク リプトが実行されます。 】
↑ここの部分がちょっと分かりずらい、DOCUMENT　OBJECT　MODELって、なんだろう？
文章関係のなんかが変更され、プログラムが勝手に作動するらしいけど・・・・
専門用語使いすぎて分かりづらい説明・・・どういう被害にあうのか分からない。
説明できる人分かりやすく説明して・・・・

時間, イベント, 侵入者, カウント
2003/11/12 23:14:12, ICMP flood, 10.11.96.171, 1

2003/11/12 23:21:48, ICMP flood, 10.11.96.241, 2

サービス不能 (DoS) アタックの試みが行われました。
らしいんですがこれって危険なのかな？

なんか、windowsUpdate してから
エクスプローラーとおみとろんが通信しようとしてますって
ダイアログが出るようになったんですけど。
ＩＥじゃなくてエクスプローラ。しかも openJaneDoe で擦れを
開こうとした瞬間とか opera を起動したときに。なんで？？
あとおみとろんについてはすでにアプリケーション実行制御
登録してるのに未知のプログラムとか言ってきます。
なんなんだ？？

>>400
400オメ　　
一度新たにアプリを入れると全てのアプリで反応するようになる。
（既存と言う考えにはならない）
俺もそうだから。スキャンし直さなきゃいけないよ。　後から追加出来ないようにしてあるのは
セキュリティーソフトとしては当然の事だしね。　ＯＵＴ対策

>>401
３９。
ていうか、す、すべて･･･なのか

>>402
そう！
プログラムの実行制限の詳細設定（Ｐ）
をしたら解決する。全てのドライブをスキャンしてください。
その間に歯磨きでもドゾ!。

しらんかったＹＯ。。ども〜

>>404
良かったぁー
□　アプリケーション制御　□のタブで
プログラムの実効制限を有効にする
にチェック!。　適用→ＯＫ　。
お忘れなく。

タスクバーのアイコンを右クリック！
　　　　　　　　　↓　　
BlackICEの設定を編集する（Ｅ）　をクリック！
　　　　　　　　　↓　　　
　　　　　　　>>405　　　　
因みにファイルの共有などをしない状況ならば
防御レベルは　→　最高で問題ありません。

俺黒氷は信用できぬ。昔Defender時代に俺必死になって
勉強していろいろとセキュリティホール叩いたりできるようになって
ためしにやったらなんか普通にバッファさせられたんだが。
どうやら黒氷自体に脆弱性があったみたいで。
Snortも古いのは簡単にクラッシュしちゃうよ。もう改善してるけど。

>>407
今時サービス停止系の攻撃するのにいちいち脆弱性なんて
さがすような面倒くさいことやる人いるのかなぁ。
俺なら絶対やらないけど。
DDoS Botでも仕込んで相手の帯域を物理的に使い果たして
しまえばそれでおしまいだし。
WinXPは結局raw socketの問題は改善しないし。

ゾンビを仕込むのは、これだけ喜んでP2Pソフトを使っている
素人がいるのを見ると、どれほど簡単なことかは。。。

XPに3.6cbrインスコしようとすると、最後の最後で固まるんだが、これでええのんか?

>>409
だめだよ。　readmeが飛び出してくるまではインスト出来てないよ

15日版つかってみたが、FWしょぼすぎ
つかってる人は、ほかのFWと併用してるのかな？

海外サイトで落としたキージェネで作ったシリアルでユーザー登録しようとしたら出来なかったUﾟ∀ﾟUｱﾋｬﾜﾝ!!
インスコは出来たのにユーザー登録出来ないなんてﾋﾄﾞｲやい(○｀ε´○)ﾌﾟﾝﾌﾟﾝ!!
でもサポート期限が2021年8月24日までとかめちゃ長いから( ﾟДﾟ)ｳﾏｰ
だれかアップデータうｐしてくれる神ｷﾎﾞﾝ！！

http://www.blackice.jp/download/BIPCP36cbu_Setup.exe

神降臨！
早速インスコしますた！ﾜｰｲヽ(ﾟ∀ﾟ)メ(ﾟ∀ﾟ)メ(ﾟ∀ﾟ)ノﾜｰｲ

まだ日本語版はcbuなのか

ゾンビってどういう意味？

>>416さん　ども(・∀・)ﾉ
Network Labo.DDoS回避
http://labo.d77.jp/cgi-bin/view.cgi?page=62
製品概要 PestPatrol
http://www.netjapan.co.jp/P_pest/pestpatrol/V42/info/PP42.html

>>415
ルーターが最低限ないと日本語版を使う以上やばいよね。
正式に配布されているバージョンが↓
現在日本語版は3.6cbu　　→　アメリカは3.6.cbx　と、日本語版が かなり古い......。
米国　『blackice.iss.net-update_center-readme.txt』
http://blackice.iss.net/update_center/readme_pcp.txt
日本語版3.6cbu
http://www.act2.co.jp/x_act2main/x_DWNL/updater/RBI.html

アップデートすると設定が引き継がれない仕様　なのが困りものだ。
バックアップしておけば設定を引き継がせる事は出来るのだが
インストーラーに引継ぎの有無を選択できる柔軟性がほしいものだ。
あと、タスクバーにアイコンがあらわれないなんて事が有るので
常駐させている以上必ずタスクバーにあらわれていてほしいものだ！。
タスクマネージャーの起動はストレスの極みだ。（起動の確認）
あとデフォルトのポート１１３の開放はやめてほしい。（閉じても問題は無いのだから）

けれど凄く納得している１ファンです僕は。

>>411
そりゃ皆、ルータと併用だろ。黒氷だけで頑張ってる人いるの?

は〜い

NIS2004と黒氷3.6だけで満足です。

ルータ＋kerio+blackIce
んでたまに手動で
pestPatrol+antiDote
でチェックしてる。なんとなく
このへんがけっこう多数派なんじゃないかと
思ってますけど。

ZA+黒氷+ルータ

うっそ！？
みんなそんなにやってるの？
黒氷オンリーじゃまずいっぺ？

別にまずくない

いっぱい入れてなきゃならないなんて
一体何が怖いんだ......。
俺は黒氷+ルーターだけだよ。
YAHOO!BBの奴はルーターが無いから大変だろな。（=´ω`=）y─┛~~

黒氷オンリーだと黄色がチカチカしっぱなし状態になんのかな?

>>428
やふーの奴はそうなる。
プロバ変えろ（=´ω`=）y─┛~~
貧乏人じゃあるまいし......
　↑だろ？

やふーではないが
光なのでルータなしだ
通信代でルータも買えん

　　　貧　乏　人

YBBだからルータなしなので〜
ってオイ！まあBI使ってるヤシなんてその程度の・・・

>>431
おまえ やふー だろ　　←←ご両親が貧乏人の最愛の息子＆娘　　　　　キタネェｗ

　　　　□　　　　高級品　　　　□

yahooBB
ICEオンリーですが何か？
やっぱ買ったほうがいいのかね

Kerio + BlackIceはコンフリクト問題があったと思ったが、
もう直ったのか？

防火壁としては、ルーター＋黒氷で十分ですよね。？
実際ルーター越えてくる不審なパケットって、月に１回あるかないかです。
黒氷には内部のアプリの通信を監視してもらっている状態です。
ルーターから内部にネットワーク組んでいれば、話は変わるとおもいますが、スタンドアローンで使用の場合、ＺＡとか要らないですよね。？

>>435
当然黒氷単体で使うべきだよ。
２個も３個も買えるかぁー(#｀▽´)y-ﾟﾟﾟ

>>435
うちも同じような構成。ルータのログにはスキャンされた痕跡が刻々と
積もってるけど、黒氷は至って平和。他のFW入れるかどうか考えるより
ルータの設定を点検しとく方が大事なんじゃねえか。それで万が一の時
は黒氷に頑張ってもらうと。

ルータはセキュリティでも有用だけど
それ以上にPPPoE処理してくれるから必要

オレはルーター使ってるけどPCゲームとかやるんでDMZ使っちゃって
BlackICEオンリーだけどな(´･ω･`)

ルーター環境下で、黒氷に「アプリケーション制御」機能が実装されてから、マジで(ﾟдﾟ)ｳﾏｰすねこれ。

ルータ＋NIS（IDSオフ）＋BI（FWオフ）
機能かぶると競合しそうでｲﾔ（・３・）

アプリケーション制御ってＯＮの方が良い？
ＯＦＦにしてるんだけど

まとめると
ルーターのステイトフルパケットインスペクションで外部からの通信制御。
　　　　　　　　　　　　　　　↓
　　　　　　　ルーターを越えてきたパケットを黒氷が監視。
　　　　　　　　　　　　　　　↓
　　　　　　　さらに黒氷が内部から通信するアプリを監視。
　　　　　　　　　　　　　　　↓
　　　　　　　　　　　　　　(ﾟдﾟ)ｳﾏｰ
　　　　　　　　　　　　　　　↓
　　　　　　　　　　　黒氷がピコピコしない
　　　　　　　　　　　　　　　↓
　　　　　　　　　　　　（´・ω・`）ｼｮﾎﾞｰﾝ

新バージョンでるのが英語版にくらべて少ないのと、
その都度、再インスコするのはどうにかならないの？
今時こんな仕様はヘボすぎ。
個人向けIDSってほかにないの？（日本語版）

AP機能で教えてくれ
IEを設定なしでブロックしたいんだが、どうすればいいんだ?
BlockかTerminateとして設定入れりゃプロテクトできるんだが、それじゃ意味がない

言い方少し足りなかったな
アプリケーションの個別設定ってことな>設定なし

>>446
自由と言えば自由だけど　（簡単！と言う、うたい文句どおり
だけどSAN_JAVAを必要とするアプリは動かなくするから困りものだ。
プログラムスキャンをしていても動かないSOFTが有る！（VisualRoute日本語版は動かない）
＊このSOFTはこのルールで許可する、と言う設定を出来たら良いのに......。
改善してゆく必要がまだまだ沢山あるソフトだな。
拘れる部分が有るソフトだけにその事が残念だ......　　　　(*´･ω･)ｙ━ﾟ

>>447
そうFWが簡易すぎ。まあ開発元はオマケのつもりだろうが

[不正アクセスの試み] このシグネチャは、ニュースを送信する
名前に関するバグによるバッファ オーバーフローを利用して、
Usenet/ニュース サーバーのセキュリティを侵害する試みを検出します。

朝起きたら、「危険」のレベルでこんなのがでてたんです。
Ｕsenet〜はnntpとやらが関わっていて119番ポートを使うらしいと
言うところまではわかったのですが・・・。
だったら併用しているoutpostが弾いてくれてもいいのに・・。
（接続はＩＳＤＮです。black iceは体験版です。このままでは怖くてもう買うしか。）
初めての赤目玉なんでビクビクしています。対策お願いします。

>>449
併用の不具合と思う。　
タイプが似ているSOFTとの併用はイカン。
ノートンとの併用の方がバッティングしないと思うが...

>>449
赤い点滅は危険なアタックがあったと思うので
不正侵入先を確認されたし

□ネクスト・イット株式会社□　　☆ライブデモ☆クリック!。
http://www.next-it.com/jp/solution/visualware/index.html

（但し；アプリケーションに対してブロックを行った場合も赤点滅にはなる）

>>450
早速のご回答ありがとうございます。
バッティング・・・。アウポのヘルプに「併用やめて！」とはあったんですが、
アウポスレに併用してる方がいて大丈夫そうな書き込みが在ったものでつい・・・案の定。
アウポスレにも報告してみようかと思います。

そちらのＨＰでライブデモというところまでは判ったんですが、
使い方がちょっとわからないのですが・・・。

>>452
ライブデモに入ったら侵入者のアドレスを貼り付けて
矢印を（→）クリック

＊上のところに四角い囲みが有るから、そこに...

>>452
　まず　『同意する』を クリック！してや

ありがとうございます。
ええ、『同意する』はＯＫです（汗）。
少しそこにあった脅し文句（？）には躊躇しましたが。
で、結果なのですが・・・。
blackiceのログからＩＰ入力途中に「どこかでみたアドだな」と思ってたら
これ自分のアドレスなんですが・・・。もしや自分なにか大ボケしてる予感が・・・。

>>455
大丈夫?だったのかな

>>456
自分のＩＰでしたの所で追跡ストップです。
目立った被害は無い様
（攻撃は一回のみで、グラフの赤線もちょこっと出っ張っただけ）
なのでこのままで良いのかなとも思いますが・・・。
もう後は併用をやめるぐらいしか無いと思っています。

でも、自分のＩＰから攻撃というのはどういうことなのでしょうか。
相手方がＩＰを偽っているんでしょうか。それともこちらの操作・設定ミス？
でも、自分はその時間何の操作もしてないのですが・・。

すみません、自分、学校行ってまいります。

>>457
気をつけて いってらっしゃい(・∀・)ﾉ
black iceを単独で使用してみて 不安であれば、
シマンテックのセキュリティーチェック（カナダ）で確認してみるか、
http://security.symantec.com/sscv6/home.asp?j=1&langid=ie&venid=sym&plfid=23&pkj=HWYGZYFVHDYKDBFVCOB
後、友達のパソコンからアタックしてもらうとか...（おすすめしないけど......）
あまりにひどいな、と思ったときは、
直ぐLANケーブル＆モジュラーケーブルを抜く！事だね。

3.6cbx age

只今帰りました。隣で大宴会。頭が痛い・・・。

いや・・・それよりなんとも皆様温かい・・・。黒氷スレなのに。｡･ﾟ･(ﾉД`)･ﾟ･｡
アウポの方でもアドバイス頂きまして、まだまだ色々試してみる必要がありそうです。
まずは簡単に出来そうな併用をやめるというところから初めて
暫く様子を見てみようと思います。セキュリティーチェックでは今のところＯＫでした。

いろいろ役に立つページも教えて頂いたし、只々感謝！
ありがとうございました！

http://www.act2.co.jp/x_act2main/x_NEWS/News/031117_BlackICE.html

早速DLしました
BIPCP36cbx_Setup.exeもBIPCP36cbx.zipも一緒なんだね
なんで２つUPしてんのか？　
まさか上書きUPDATEしていいなんてことじゃないよね。


それとここみつけた

データのバックアップと、復元の仕方
http://www.toyo.co.jp/security/ids/support/faqj/contents/qj00065.html

>>461
http://www.blackice.jp/download/からシリアル入れてアップデート版を
インストールする分には上書きで問題ないと思うよ。（バックアップとっておいた方がいいかも）

黒氷もいちいち停止しなくてもインストーラが一時的に停止してくれます。

手動で停止してからアップデートしてしまうとファイアウォール設定が
初期化される場合あり。

>>459
>>461>>462
お疲れ様ですm( _ _ )m。ありがとうございます では行って来ます。

>>460
よかったヽ(・∀・)ﾉ

アプリ制御中のソフトインストールって
あれはベースラインを全部更新してるの？
それともインストールしたソフト分だけ追加されてるのかな？
やってみてもよくわからん・・・

>>465
FWはべつのつかえってこと

>>465
　((φ（．．。)
　ベースラインを全部更新する為のスキャン。

>>466
（=´ω`=）y─┛~~
　　　おまえのおすすめ買って来ておれんとこに持って来い。

cbuからcbxにアップデートしたら、更に軽くなったような・・・気のせいか?

>>469
　動作がよりスッキリとした感じだね。

ageてもよいでつか？

>>471
　　いいでっせ！。

黒氷15日トライアル試しましたが、ｲｲ（・∀・）
とにかく軽い。これあればファイアウォールいらないのでは？（・∀・）

>>473さん　こんばんはm(　_ _　)m
　黒氷のみで大丈夫ですよ......
今後とも宜しくお願いします。
　　　　　　　何卒何卒

黒氷が軽いって...正気か?

475は何言ってんだ、黒氷はメチャクチャ軽いぞ。

>>476
黒氷が軽いのはUIだけ
FW部は無茶苦茶重い

DLしてると激しく重い

んー？、重いっつってる人たちどんなマシン使ってるの。

>>475
でもゾネよりは軽いわな
もっとも漏れはゾネ使いだが
ﾊﾅｸｿ(σ-￣)ﾎｼﾞﾎｼﾞ

>>480
ZAはGUIは兎も角FW自体は軽いぞ

>>481
ZAの欠点は煩わしいアラートだけで、止めればGOOD！だね。
けど俺には設定拘るには難しいんだ。　PROを持ってるけど...持ち腐れてる。
クリエーター志向の人向きだよZAは。　
スレタイ違いだけど、ZAに興味があるひとは黒氷を使ってける人だよ。（勿論その逆の場合も）

　　　　　　　　　　　　 ΛΛ
　　　　　　　　　　　 　（｡_｡*）　ﾊ､ﾊｲ
　　　　　　　　　　 　 　(つ/ ）
　　　　　　　　　　 　 　 |`(..ｲ
　　　　　　　　　　　　　 しし'

ﾊﾟｼｬｯ　　　　ﾊﾟｼｬｯ　ｼﾞｬｱｱｼｦﾋﾛｹﾞﾃﾐﾖｳｶ
　　　ﾊﾟｼｬｯ　　　　　　　　　
　　　 　 ∧_∧　ﾊﾟｼｬｯ　　　　　
ﾊﾟｼｬｯ　(　　 )】Σ
.　 　 　/　 /┘ 　　ﾊﾟｼｬｯ
　　　 ノ￣ゝ

[PARMS]
protection.SecurityLevel = paranoid, 0, unknown
protection.SecurityLevel.state = paranoid, 4000, auto
auto-blocking = enabled, 0, unknown
tunnel.DNS = enabled, 0, unknown
block.ICMP = enabled, 0, unknown
;action, IP/port, name, whenSet, whenExpire, precedence, whoSet
[MANUAL IP ACCEPT]
[MANUAL ICMP ACCEPT]
REJECT, 8:0, ICMP Echo Request, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
[MANUAL UDP low REJECT]
REJECT, 0 - 1023, default, 1970-01-01 00:00:00, PERPETUAL, 1000, unknown
REJECT, 135, DCE endpoint resolution, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 137, NETBIOS Name Service, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 138, NETBIOS Datagram Service, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 139, NETBIOS Session Service, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 445, Microsoft-DS, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
[MANUAL UDP high REJECT]
REJECT, 1024 - 65535, default, 1970-01-01 00:00:00, PERPETUAL, 1000, unknown
[MANUAL TCP low REJECT]
REJECT, 0 - 1023, default, 1970-01-01 00:00:00, PERPETUAL, 1000, unknown
REJECT, 135, DCE endpoint resolution, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 137, NETBIOS Name Service, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 138, NETBIOS Datagram Service, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 139, NETBIOS Session Service, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 445, Microsoft-DS, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
[MANUAL TCP high REJECT]
REJECT, 1024 - 65535, default, 1970-01-01 00:00:00, PERPETUAL, 1000, unknown

お一ついかが?firewall.ini設定

ICMPってそれ以上はじくと駄目なの？

ttp://www.wakasato.org/learn/nepc/course2/chapter02/index.html
>>485 お勉強の時間ですよ

黒氷って新しいIDSシグネチャ対応するために
上書きインスコする仕様だけど
これって何とかなんないの？
ノートン先生みたくデータのみオンライン更新
できないの？

ブロードバンドルータを介してのローカルネットワークにおいて、
その内の一台に接続されたプリンタを共有するためには
黒氷の設定をどうしたらよいのですか？
また、同時にパスワードを必要とするファイルの共有もお願いします。
もちろん、共有を許されるのはローカルマシンのみです。

黒氷のエンジンを停止すると共有ができるのでWin2Kの性ではないと思います。
よろしくお願いします。

すいません、他の人も書き込んでいるみたいですけど自分のIPアドレスが検出されるの
はおかしくないのでしょうか・・？

>>488
貼っとく↓
ttp://www.toyo.co.jp/security/ids/support/faqj/contents/qj00027.html

>>489
http://www.toyo.co.jp/security/ids/support/faqj/contents/qj00101.html

黒氷って、AV+FW+IDSですか？？
オフィシャルサイトの説明読んだのですが分からなくて･･･。

少し違うと思います

スレから推察すると、FWとIDSは間違いないですよね？
でも、販売ページに「ウィルスから守ります」的なことも書いてるし･･･
実際どうなんでしょう・・・？

>>492
AVいわゆるワクチンソフトではない。入ってしまったウィルスに感染し
たファイルを修復・削除する機能はない。AV入れてるユーザー向けに特
別優待版が出てるが、乗り換えキャンペーンではない。
黒氷は、開けているポート（FW入れていてもポート開けなきゃ通信でき
ない）を突いてブラスター等により攻撃を仕掛けられた場合なんかにそ
れを検出（IDSの機能ね）してブロックする（ウィルスを入れない）から、
ある種のウィルスからは守ってるってことになるんだろな。

>>495
レスありがとうございます。
つまり、「ウィルス（の攻撃）から守る」ってことですか。
感染防止は別に必要と。

FWが弱いようなので、
黒氷＋kerio+NOD　みたいな使い方しないといけないわけですね。

>>496
自分の説明よりこちらの方が良いですね↓w
ttp://www.toyo.co.jp/security/ids/support/faqj/contents/qj00061.html

ちなみに私は平時の軽さ重視でルータ+黒氷+チェイサーの組み合わせ
にしています。

>>497
ありがとう御座います。　大変参考になりました。
素朴な疑問なのですが、黒氷はブラクラ対策などにも有効なのでしょうか？

>>498
トンチンカンな質問ばっかだな
初心者向けのセキュリティ・サイトはいくつもあるんだから基礎くらい勉強してこいよ

まあここにいるヤシもIDSが何なのかよく分かってないのが半分以上だからな
advICEとかtoyoのFAQページくらい目を通せよ

ttp://www.toyo.co.jp/security/ice/advice/
ttp://www.toyo.co.jp/security/ids/support/faqj/index_ws.html#work

>>498
多分ダメでしょう。って自分でわざわざ踏んで試す根性ありません(w

ｺｼﾞﾝ　ﾚﾍﾞﾙ　ﾉ　ｾｷｭｱ

AntiVirus +
AntiSpy +
FW（ﾊﾟｹｯﾄﾌｨﾙﾀ） +
IDS(侵入探知） +
ﾙｰﾀ（IPﾏｽｶﾚｰﾄﾞ）

ｱﾄﾊ　ｾｯﾃｲ　ｼﾀﾞｲ　
ｶﾞﾝﾊﾞｯﾃ

by　TtT

これでも読んで勉強せよ（w）

5分で絶対に分かるシリーズ

http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin00.html

>>491
HTTPじゃなくてこれが表示されるのですが・・？
[疑わしいアクティビティ] このシグネチャは、一般的ではないポートに向けられた
TCP 調査を検出します。パケットの詳細については、イベント メッセー

横のの説明を表示するサイトを開くとこのページが開きます・・。
http://advice.isskk.co.jp/security/ice/advice/Intrusions/2003102/

で、ふだんは、この警告はほとんど出ないのですがWinnyを起動したとたん何回も連続して
２分おきぐらいに検出します。すべて自分のIPアドレスなのですが・・。どうしてでしょうか・・？

時々、ファイアウォールの詳細設定が真っ白にクリアされてしまうんだがこの現象って
よくあること？

シマンテックのセキュリティチェックでは80ポートもステルスになりますけど
Sygate Online Servicesでは８０番ポートがステルスにならないのですがどうしてでしょうか・・？
Sygateのテストではステルスの場合はBLOCKEDで開いてはないけど、閉じてると相手にわかるのが
CLOSEDど出るのですが、CLOSEDという結果になってしまいます。

Sygate Online Services
http://scan.sygate.com/

シマンテック、こっちはステルスになります。
http://www.symantec.com/region/jp/securitycheck/index.html

黒氷のファイアウォールをoffにしてIDSによるブロックのみを
有効にする方法ってありますか？

ファイアウォールはKerioに任せたいんで。

黒氷+Kerioでも問題ないんだけど少し重い。

>>506
防御レベル：なし　にしとけばいいんじゃないの

ローカルホストからスラマーワームの攻撃が来ますよと真っ赤になっているんだが

win98って感染しないんじゃ・・・・

ｱｹﾞﾏﾝ

今、日本語版の最新版はcbx？
公式のHPみたら
バージョン 3.6cbu では以下の点が改良されています。（2003/11/17）
Windows メッセンジャーサービスにおける脆弱点の検知/防御に対応
検知/防御時のイベント名: 2111018, Win_MessengerPopup_Bo
以下のシグネチャを更新
2110029, MSRPC_Message_Que_Heap_BO
2110030, MSRPC_RemoteActivate_Path_BO
いくつかのネットワーク環境でシステム停止を防ぐ BlackICE ドライバのエラーチェック機能を拡張
Windows 98 との互換性を改善
ポーランド版 Windows XP で起こっていたアダプタ初期化時の問題を修正

って出てるけど？HPが間違って書いてるのか？

>パケット ログで収集した情報を使用するには:
>トレース ファイル デコード用アプリケーション (デコーダ) をインストールします。
>このようなデコーダは、インターネットで購入することができます。

これって何か入れてますか？

Ethereal

opera 6 をDLしようとしたら

時間, イベント, 侵入者, カウント
2003/12/05 11:04:13, HTTP_Favorites_Icon_Overflow, 210.155.146.15, 1

と出てびびった。初の赤だし、たまたま横着してアドミンで接続してたし。
オーバーレイも赤でセキュリティ突破されたってなってるし
210.155.146.15についての情報はわかりませんなんていうし。
けどwhois検索したらベクターだった。(；´Д｀)
はーまだドキドキしてる。。。

>>513　ドキドキしてる
それは恋の始まりなのかもしれん…

俳優２のサポセンって人いるんかい？
メール出してもうすぐひと月になるけど
何の連絡なし。放置？
うちでは黒氷まともに使えないんで
ぞねプロ評価中。

軽快でいいソフトなのになんでマイナーなのかな？
買った時も、ひっそりと売り場の端っこに並んでた。不憫だ

>>516
正直PC初心者には
「IDS？　何それ？？何の部品？？」
だと思われ

正直今でも「IDS？何それ？美味いんか！？」って感じだけどな。

3.6cbz!

>>519
報告乙

PC上級者にも中級者にもスルーされてるけどな。

別にスルーって訳じゃなかろう。
FW付けた上で侵入検知に金払うのは馬鹿らしいだけじゃないの。

フリーでsnortあるしね

>>522
十分スルーしてんじゃん。

スルーと取るかキープと取るかは価値観の相違的解決を見る事になるな。

キープ

BlackICE PC Protection はすべてのポートがステルスになりますか？
sygateに飽きたので移行したいのですが。

>527
お試し版インスコして、自分の目で確認せよ

http://www.blackice.jp/download/

>>528
お試し版インスコしてみたけど、初期設定ではpingを返しちゃうんですね。

ファイアウォールの設定見てみたら
防御レベルを普通に設定しておいたはずなのに勝手になしになってた((；ﾟДﾟ)ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
誰かにﾊｷｰﾝｸﾞされた？｡･ﾟ･(ﾉ∀`)･ﾟ･｡

>530
使用でつ

■ICMPの設定です
各セクションに設定を追加して下さい。

[PARMS]
block.ICMP = enabled, 0, unknown
[MANUAL ICMP ACCEPT]
ACCEPT, 0:0, Echo Reply , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 1:0, Unassigned , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 2:0, Unassigned , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
ACCEPT, 3:0, Destination Unreachable , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 4:0, Source Quench , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 5:0, Redirect , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 6:0, Alternate Host Address, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 7:0, Unassigned , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 8:0, Echo Request, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 9:0, Router Advertisement, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 10:0, Router Slection, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 11:0, Time Excceded, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 12:0, Parameter Problem, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 13:0, Timestamp, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 14:0, Timestamp Reply, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 15:0, Information Request, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 16:0, Information Reply, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 17:0, Address Mask Request, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 18:0, Address Mask Reply, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 19:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 20:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui

REJECT, 21:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 22:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 23:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 24:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 25:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 26:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 27:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 28:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 29:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 30:0, Traceroute, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 31:0, Datagram Conversion Error, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 32:0, Mobile Host Redirect, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 33:0, IPv6 Where-Are-You, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 34:0, IPv6 I-Am-Here, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 35:0, Mobile Registration Request, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 36:0, Mobile Registration Reply, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 37:0, Unassigned, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 38:0, Unassigned Conversion Error, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 39:0, SKIP, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 40:0, Photuirs, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui

>>532,533
過去レス読んでわかったけどfirewall.iniのどこに追加するの？
一番最後ですか？
教えって君でスマソ・・・

↑やるとﾊｯｷﾝｸﾞされまくるからやらない方がｲｲﾖ

今時のモノは、はなっからステルスじゃなきゃ可笑しくないか？
それともナンカ思想的なモノがBlackICEにはあるのか？

YAMAHAのルータだってほとんどステルスになりません

>>534
firewall.iniの[PARMS]と[MANUAL ICMP ACCEPT]の
項目の下にその記述を追加するだけですよ。
コピー＆ペーストするだけでいいですので非常に簡単です。
因みにICMP Type 0と3はホスト側からの応答ですからACCEPTでいいです。

コメントに誤字脱字がありましたので…↓でどうぞ

ACCEPT, 0:0, Echo Reply , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 1:0, Unassigned , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 2:0, Unassigned , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
ACCEPT, 3:0, Destination Unreachable , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 4:0, Source Quench , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 5:0, Redirect , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 6:0, Alternate Host Address, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 7:0, Unassigned , 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 8:0, Echo Request, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 9:0, Router Advertisement, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 10:0, Router Solicitation, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 11:0, Time Exceeded, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 12:0, Parameter Problem, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 13:0, Timestamp Request, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 14:0, Timestamp Reply, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 15:0, Information Request, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 16:0, Information Reply, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 17:0, Address Mask Request, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 18:0, Address Mask Reply, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 19:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 20:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui

REJECT, 21:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 22:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 23:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 24:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 25:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 26:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 27:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 28:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 29:0, Reserved, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 30:0, Traceroute, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 31:0, Datagram Conversion Error, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 32:0, Mobile Host Redirect, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 33:0, IPv6 Where-Are-You, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 34:0, IPv6 I-Am-Here, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 35:0, Mobile Registration Request, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 36:0, Mobile Registration Reply, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 37:0, Domain Name Request, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 38:0, Domain Name Reply, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 39:0, SKIP, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui
REJECT, 40:0, Photuirs, 1999-01-01 00:00:00, PERPETUAL, 2000, BIgui

>>540、541
親切にどうもです、ここのスレは親切な人が多いので助かりますです(*^-^)

>>538
0と3以外は全部ふさいでしまって何の支障もないでしょうか？

>>543 基本的にステートフルパケットインスペクションだから全部塞いでも問題なし

応用的にはステートフルパケットインスペクションだとどうなんですか？

初歩的にはどうなんですか？

>>544
そうなんですか。どうもありがとうございます。

Type40 Photuirs→Photuris

ﾏﾝｺｰ

うわーーーん。
いつのまにかシステムファイルが
変えられてたみたいっす。

>block.ICMP = enabled, 0, unknown

これは3.0以降はいらないんじゃない？

詳しくは
http://pc2.2ch.net/test/read.cgi/win/1071412389/206 以下

誰か似たような経験あるひといませんか
漏れだけ？？？
ていうかこれ黒氷無かったら絶対
わからなかった。。。。。。

今日80番ポート2分おきくらいなんですが
何でですか？

------------------------------------------------------------------
　◇ 3.6cbz アップデータ概要
------------------------------------------------------------------

【カテゴリー】Windows 用 セキュリティソフトウェア
【製品名称】　- RealSecure BlackICE PC Protection 3.6cbz
　　　　　　　- RealSecure BlackICE Server Protection 3.6cbz
【配布形態】アクト・ツー Web サイトよりダウンロード
http://www.act2.co.jp/x_act2main/x_DWNL/updater/RBI.html
【無償配布対象】RealSecure BlackICE PC Protection、及び
　　　　　　　 RealSecure BlackICE Server Protection ご登録ユーザ様
※乗り換え優待版のユーザ様を含みます。
※RealSecure BlackICE PC プロテクション 15 をお使いのユーザ様は含みません
【ダウンロード開始日】2003年12月25日（木）


------------------------------------------------------------------
　◇ 変更点について
------------------------------------------------------------------
- Windows 2000 / XP におけるWorkstation サービスのバッファオーバーフローの
　脆弱性（MS03-049）の検知/防御に対応
検知/防御時のイベント名: 2110034, MSRPC_WksSvc_Mgmnt_Bo

ﾏﾝｺｰ

【ゴールデンレス】
このレスを見た人はコピペでもいいので
10分以内に3つのスレへ貼り付けてください。
そうすれば１４日後好きな人から告白されるわ宝くじは当たるわ
出世しまくるわ体の悪い所全部治るわでえらい事です

アクト・ツーに行ったら
15日試用版と30日試用版の２つがあった。
どっちを使えばいいのか分からない。
両者の違いは？

アーカイブ見たら
BIPCP36cbzE 15 Setup.exeと
BID29carJE.exeの２つです。
後者のほうがファイルが小さい（30日試用版）。

春頃使ってた90日試用版はBIPCP36cbdE 90 Setup.exeです。

BIPCP36cbzE 15 Setup.exe

これがver3.6の体験版

BID29の方はver2.9の体験版だと思われ。

新しい方使いませう。

>>559さん、ありがとうございます。
早速インストールしました。

>>554
これさあＤＬしてLhapulsで解凍したらエラーが出るんだけど。
でも他の解凍ソフトでは平気でLhaplusで解凍したファイルも
ちゃんと実行できる。気にしなくていいのかな？
Lhaplusユーザの方いませんか？win2k sp4ですが

理由:Lhaolusだから

×Lhaolus
○Lhaplus

＿|￣|○くそったれぇ

あれでもこれって最メジャーじゃないんすか

>>564
IDSの中じゃBlackICEは超有名だ
ハカー本でもIDS中でほぼ最強のお墨付きを得ている

しかしIDSはあくまでIDS、
基本はPFWあってこそだというのは忘れんように

>>564
ﾒｼﾞｬｰな部類だが
ﾊﾞｸﾞがあるのも有名だ

ﾊﾞｸﾞが無いソフトなんか存在しない

ﾃﾞﾊﾞｯｸﾞの出来ないソフトも存在しないわ

つか、BlackICEってPFW付きIDSでわ？

その通り

PFWの使い勝手はあんま良くないけどね、黒氷のPFW使わねーし

前々から思ってたけど、3.6って2.9に比べてタスクトレイの黄色アイコンが汚い気がする。
黄色以外赤やオレンジはまともだけど、黄色だけ何故か点滅時に黒いアイコンが時々ちらついたり、
うまく表現出来ないけど。
みんなはどう？

>571
ナナオ　Ｔ962だけど異常なし

>>572
Σ（ﾟдﾟlll）ｶﾞｰﾝ
俺だけなのか。。。＿|￣|●

体験版いれてみたよ
バスターのFWと共存できないんだね
バスターのFWは別にいいんだけど、
常駐がバスター、BlackICE、FWソフト　になるとキツイな
ルータある人は、各PCでIDSソフトとPFWソフトどっち選ぶ？
両方いれてる？
あ、BlackICEのFW機能は却下で。

ルータは許可してるポートは筒抜けだから、
シグネィチャで侵入検知するIDSって良さそうと思ったんだけど
各PCではPFWソフトでアウトバウンドの制御もしたい
どっちか選ぶとしたら、どっちにしたらいいと思いますか
インとアウトか

つぅか、BlackICEがハードだったら無問題だったのにな

>>571
アイコンの色数が少ないことは無い?
窓の手とか使ってデスクトップアイコンを256色以上にしるとか。

>>574
バスターを先にインストールすれば問題ない。
PCTool.exeで削除も出来るし。

バスターのFWはシステムから無効
BlackICEはIDS機能のみ有効
アプリ毎のポート制御にはPFWを使用

これで衝突全くなし、IDSとPFWは別に使えば問題ねーじゃん。
PFW使うんならInもOutも両方制御するのは基本中の基本。

IDSってのはその上で使うもんだよ。

ありがとうございます

>>576
バスターのFW、インストールはしてあるけど
無効にしないとブルースクリーンのエラーが出ます（Meです）

>>577
てことは、やぱーりPFWソフト削除してまでいれるものじゃないってことかな
>BlackICEはIDS機能のみ有効
ってどうやるんですか
強制的にインスコされてるんですけど

>>578
P2Pみたいに見慣れないポートで大量にデータのやり取りをする
ソフトだけBlackICEのFWに許可（あるいは不許可）設定するだけでいい。

アプリ制御有効にしなきゃ、BlacICEは普通のやり取りまで監視しない。
後は防御レベルの設定との兼ね合いだ。

まずはマニュアルに目を通せ、話はそれからだな。

ありがとうございます

>>579
>BlackICEはIDS機能のみ有効
って、FW機能のチェック外すだけ？

FW機能の常駐はずしてかつ削除したいんだけど
何せ俺様のOSは、リソース喰いまくりのMe様だからな

BlackICEの侵入検知のシグネチャと、その機能だけインスコしたい

ちなみに、PFWソフトは何をお使いですか？

>>580
何も理解してねーのな・・・

PFWはTinyの5使ってる

>>581
BlackICEなんて使う必要ねーじゃん。

>>581
レスありがとう

何が理解してないんですか？
理解してないのはそっちだと思うが…
「コンフリクトしないから、そのまま他のPFWソフト入れればいい」
ってことを言いたいらしいが、常駐してることに変わりはない

>>583
うーん、もういいからマニュアル読んでや。
そんじゃ。

黒氷もそうだがＩＳＳはＦＷと連動して動作するＩＤＳをＩＰＳといっている。
企業向けの高価なＩＰＳは機能がすごいが
使いこなせる度１０％という超難解なソフト。
コンシューマ向けは路線は同じだが、
別物といった出来でＩＳＳの名が泣く出来栄え。合掌。

3.6cbzに変えたら
なんか攻撃受けるたびに
黒氷が停止するようになってしまった。
なんでだろ？
多分こんな症状になったの自分だけなんだろうな・・。

>586
多分、漏前だけだろう・・・

夜中の0時に電話してマジギレ

http://66.102.7.104/search?q=cache:cvfAx-HnZSUJ:www.egroups.co.jp/messages/bidgeneralj/574%3Fexpand%3D1+black+ice+%E7%82%B9%E6%BB%85&hl=ja&lr=lang_ja&ie=UTF-8

こんな基地外の相手する。ＡＣＴ２の女性が気の毒です。

えらくまた昔のことを持ち出して･･･。

>>583
たぶん君は、バスターのPFWを無効にすることと削除することの違いも分かってないのでは？
プログラムファイルのトレンドマイクロフォルダ。
PCTool.exeで削除すりゃいいじゃん。

>>591
はぁ？
知ってるよ、そんなこと。そんな話してないだろ

>BlackICEはIDS機能のみ有効
これの説明つけろよ、サル
自分が間違ってたのを認めたくないからって逃げんな

Me様の下僕は、たいへんご立腹の様子です。

http://www.redout.net/data/osietekun.html

ttp://www.blackice.jp/
死んどるよ。
攻撃されたかな。

>>595
確かに死んでいますね。
攻撃じゃなくて、売れなくてＨＰ閉鎖とか？ｗ

>594
禿しくワロタ

ミラーサイトとかないのかYO!!
IDS売っているサイトが死んでどうする！！
ヽ(`Д´)ﾉダウンロードできねえよ！ｳﾜｧｧﾝ

おｊ：

>598
http://www.act2.co.jp/product/

>>600
ヽ(`Д´)ﾉそこから入っても、行き着くところは一緒だYO！ｳﾜｧｧﾝ

kerioとかtinyとか入れとかねーから、こーなるんだ。

掃除のおっちゃんがコードに足引っ掛けただけだよ

まあまあ正月休みなんだからサ

セキュリティソフト売っている会社が、
危機管理ぜんぜんなっていないというオチ。

最新版入れたら、黄色が頻繁に点灯するようになった。
これて仕様？

仕様だね。っていうか今ワームかなんか流行ってないか？
やたらスキャンが来るんだが。

SQL、SSRP、ポート１４３３、ポート２０２５、ポート１４３４
３〜４時間おきに、こればっかり・・・

ただのDNS障害じゃん

SQL_SSRP_Slammer_Worm
このイベントは、宛先ポート 1434 と
SQL Slammer Worm のリターン アドレスにおける
UDP パケットのオーバーフローを検出します。

うちも↑これが多いんだけどDNS障害なの？
どうすりゃいいのさ？

俺の場合はすらまーに加えて、SQL_SSRP_StackBo
というイベントが必ずセットで発生している。
すたっくぼっ！ってなんか滑稽な響き。

俺もセットだ。
あとポート１３９。
これの繰り返し・・・

ルータかませば。

アプリケーション制御の設定がめんどくさすぎてやってないよ
winのアプリケーション名がわかりにくすぎる

HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/4.0
Date: Sun, 11 Jan 2004 14:37:00 GMT
Content-Type: text/html
Content-Length: 87

<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>

act2から買おうかと思ったのだが、ブラウザで開かん・・・
てるねとで見たらIISだし・・・
りあるせきゅあは良い製品なのにな。

odbc.dllをトロイとして検出したんだけど誤作動かね?

↑の方でいってた防御レベルが勝手に変わってるやつ・・・
他人事のように思ってたら自分もなってた（T_T)
一体いつから・・・
ついでにファイアーオールの設定内容も削除されてるし。

というわけで今までこれ一本でやってましたが
心配になってPFWでも入れることにします
手始めにZoneAlarmでも試してみようかな・・・・

ルーターでまずはルール設定
PFWでアプリの通信制御
黒氷でIDS
アンチウィルスでウィルス対策

基本だべ

ど初心者ですが、急にサーバーの管理をやらなければならなくなりました。
FTPサーバーをパッシブ可で使いたいのですが、その際に1025以上のポートについては
FTP以外は排除したいです。Blackiceはそのような用途に使えるのでしょうか？

黒氷に最適なルーターってどれだろうね。
「黒氷入れてるから、SPIは要らない」とか、不要な機能を考えれば、ルーター
の経費を節約出来ると思うけど。

>>619
窓鯖？
当然のようにFW使いなされ

>>620
黒氷に最適とか、そういう理由でルーター選ぶ自体が間違い
安定度とか、スループットとかで弾いた後ってのが普通だ

OPTシリーズは安定度はいいけど、マルチセッション無いから
フレッツスクウェアで動画見ながらインターネットは出来ないとかね

ファイアーウォールソフト 総合Part4
http://pc.2ch.net/test/read.cgi/sec/1074563750/

使ったことある人、長所・短所含めた客観的なレビューを書いてね

黒氷のパッケージを見ると、ブラスターに初期から検知できてたというのは本当ですか？

>>623
snortもTPFもブロックできたよ
TPFはsnortからルールを変換してだけど

Blackiceは自分でルール作れないのに日本語版は更新が…

BIとX-GUARDの組み合わせで使ってる人っている？
防御レベルなしの保険的な意味で
補助的にX-GUARD使ってみようかなぁ・・・とか思うんだが。

ZAとの併用に使用かとも思ったけど重そうだったから・・・

どっちがいいかな

>>623
黒氷以外のPFWでも防げたと思うよ。
そんなに自慢するようなことじゃないよね。

何をやっても『BlackIceサービスは現在停止中です』と出て全然イベントをキャッチしないのだが・・
金返せ！！！！ｳﾜｧｧｧｧｧｧﾝ

>>628
こんなことで騒いでないでサポートに連絡したら？

すいません、新人です。
ブラックアイスの中にも
プロテクト とか 他の種類のヶありますよね。
どっちを入れたらいいんでしょうか？

　　 　　 ？　　　　　　？
　　 　　 ？？　　　　　？？
　　　　？？？？　　　？？？？
　　 ？？？？？？？？？？？？？？
　？？？？？？？？？？？？？？？？？　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　？？？？？？？？？？？？？？？？？ 　∠ 　　( ﾟДﾟ)<�f�i�l�n�b�h�l�m�b�c�f�i�l�n�b�h�c�f
　？？？？？？？？？？？？？？？？？ 　 　＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　？？？？？？？？？？？？？？？？？
　　？？？？？？？？？？？？？？？
　　　 ？？？？？？？？？？？？
　　？？？？？？？？？？？？？？？
　？？？？？？？？？？？？？？？？？
　？？？？？？？？？？？？？？？？？

>>630
PC Protection でつ
まずは評価版をインスコして試してみれ

教えてもらおうか、黒氷のNY用の設定とやらを！

ツールを押して”BlackICEエンジンの停止”で良いと思うよ

BlackICE入れてみました。FWはZoneAlarmにまかせてBlackICEのFWはオフにしてます。
BlackICEが突然停止したり、突然ネットつながらなくなったり。
ZoneAlarmとの相性悪い？

ファイアーウォールの防御レベルを「なし」にしてもIDS機能は働いてるの？

>>636
それ、漏れも知りたかった

『[スキャン] 攻撃者は、この Well Known サービスが使用できるかどうか調べようとしています。』

コレって、どういう事なんですか？
何か害が有るんですか？

>>636
パケットフィルタは行わないが、IDS判定に引っかかったのはちゃんと止めてた。

>>639
そうなんだー。ありがとー。
試そうにも試せなくてね。

foober2000　0.77cが起動しなくなったので試しにプログラム実行制限
外したら起動した。
詳細設定みても制限はかかってないし、かけた覚えも無い。
もちろん実行制限かけると、また起動しなくなる。
fooberに限らず、こういうことは有るのでしょうか？

１ヶ月前からBlackICEを使ってるが１度も侵入者らしき痕跡もない
機能してんの？
ＤＳＬでＸＰでＸＰのＦＷは不使用でルーターなしでノートンセキュリティーチェックではオープンポートは１個もなしで
安全対策では、万全と出てる　もしかして自分のＰＣは最強？
しかしたまにトロイが機動しようとしてますとBlackICEが検知してくれてるから
機能してることはしてるんだろうが、さみしいですね。

>>642
(´ﾟc_,ﾟ` ) ﾌﾟｯ　おめでたいヤツだ

>>642
とりあえず、FW、ルーター全部切って、全ポート開けっ放しでいかがわしい
サイトでも回ってみろや。

このファイアーウォールソフトいいけど、問題がある。大手ファイアーウォール
と比べて、このソフトよりははるかに性能がいい！シ○○テックは、導入して
１ヶ月以内でハッカーに破られた、マ○フィー＆ウィ○○バスターについている
FWも破られるらしい。前友達が言っていました。
このソフトを使っているが、この前ハッカーにDOS攻撃を受けてシステムが破壊され、
pcがダウンしまった。FWソフト＆普通のルーターはドス攻撃に弱いらしい
やっぱりこのソフトと一緒にDOS攻撃対応のルーターを使ったほうがいいかも

>>645

縦
読
み
は
、
ど
こ
？

>>642=>>645
文章はサッパリわけわかんないし、縦読み斜め読みでもないし。
暗号？

ドス攻撃　(▼▼メ)

ドスで一突きかよ　ﾜﾗﾀ

これよさそうだったんで入れてみたけど、なぜか起動後に停止する。
OSクリーンインスコしても同じだった。
俺の環境と相性が悪いのかな。。あえなく断念。

俺も起動時にエラーとなって停止になる
何度マイクロソフトに情報送ったことやら

ccb

ノートンとメディアプレーヤーのアップデートをやって再起動したら、
ブラックアイスが「トロイの木馬」やら未知のプログラムやらを
バチバチ感知しました。たとえばC:\WINNT\inf\unregmp2.exeなど。
大丈夫ですか。

>>653
元々メディアプレイヤーにはトロイが入ってんじゃない
俺もでるもん

>>653
ノートンのLiveUpdateは実行プログラムの書き換えもするから、
アップデート後はベースラインの更新が必要だよ。

漏れも今日のノートンLiveUpdateかけたらExplorer.exeとか感知しまくりになって
ベースライン更新しても消えなかったが、
黒氷を3.6ccbにアップデートしたら直っちゃったよ。ちなみに黒氷は英語版。

BlackICEのIDSはすごいと思うけど、ソフト自体は個人ユーザーには必要ないね。
ファイアーウォールもしょぼいし。

黒氷はIDSです。

確かに黒氷はIDSだが、中途半端にFWつけるなと言いたい。
フリーでもFWはたくさんあるんだから。
黒氷買うぐらいならSygate PFW Proの方がよっぽどいいよね。

FWいらないなら止めればいいじゃない。
黒氷が気に入らないなら使わなきゃいいじゃない。
なんでここで喚いてるの？

ダイヤルアップの接続をすると、BlackICEエンジンが停止するのは仕様ですか。
それとも、悪意ある不正なプログラムの仕業でしょうか。

バージョンは次の通りです。
Product　　　　 Version 3.6.cbx
blackice.exe　　Version 3.6.44
blackd.exe　　　Version 3.6.47
blackdll.dll　　Version 3.6.37
BlackDrv.vxd　　Version 3.6.32
iss-pam1.dll　　Version 3.6.13

>>661
多分これで解決
ttp://www.toyo.co.jp/security/ids/support/faqj/contents/qj00021.html

ブラックアイスと併用して相性の良いFWありますか？

>>663ブラックアイスと相性がいいFWは、ソフトだったら、ノートン社製の【パーソナルファイアーウォール】OR
【インターネットセキュリティー】が相性がいいです。でも、ソフトのFWだけだと、DOS攻撃を受けるとｐｃシステム
がダウンしてしまうので、DOS攻撃対応のFW付のルーターをかまして、ブラックアイスを使ったほうがいいと思われます。

>>664
DoSでシステムダウンするんじゃファイアウォールの意味ねえよ
ネットワーク・リソースが占有されるという意味ならルータも同じだし
むしろルーティングにリソース取られる分悪い

DoS攻撃対応ルーターなんてあるの？

ttp://www.atmarkit.co.jp/icd/root/73/46122573.html

↓これdos攻撃対応のルーターです。
http://buffalo.melcoinc.co.jp/products/catalog/item/b/bbr-4hg/index.html
● FTTHにも余裕で対応、実効スループット96.5Mbps※1(最大98.7Mbps※2)実現！フレッツ(PPPoE)スループット92.0Mbps※3も高速を実現！
※1.WAN/LAN側に接続した2台のパソコン間にて100MBファイルをFTP転送し実行速度を算出。
※2.SmartBits2000によるWAN⇔有線LAN間の測定値。
※3.※1環境のWAN側にPPPoEサーバを設置して測定。
● 鉄壁のセキュリティで不正アクセスを防止！
・「アタックブロック」機能
相手のパソコンをダウンさせるDoS攻撃やPortScanなどを検出、しっかりとガード。
■検出可能なDoS攻撃/スキャン：IP with zero length、Sync flood、Smurf Attack、Land Attack、UDP port loopback、Null scan、IP Spoofing
・「SPI(ステートフル・パケット・インスペクション)」機能
セキュリティホールを生じさせない高レベルのパケットフィルタリング。通信セッションごとにパケットの整合性をチェックし、セッション終了時には全ポートを閉じるため、不正なアクセス(なりすまし等)の防止も可能。
・「パケットフィルタ」「ポートフィルタ」「IPアドレスフィルタ」「ログ取得」等
● UPnP対応、MSN Messenger(Ver6対応)で音声チャット、リモートアシスタントなどを使用可能。

↓これもdos攻撃対応のルーターです。
http://www.corega.co.jp/product/list/router/barsw4phg.htm

UPnP（ユニバーサルプラグアンドプレイ）対応
パケット・フィルタリング（IP/Port/URL）/SPI（DoS攻撃検出機能）搭載
VPN（PPTP/IP Sec/L2TP）プロトコルのパススルーが可能
ダイナミックDNS対応
バーチャルサーバー/DMZ対応
ログ記録可能（メール転送機能有り）
unnumbered IP機能対応（要ファームウェアのアップデート）
MTU値の変更が可能

だからそんなもん大した意味ねえって

個人用だから「対応してる」っていう一言が大事。
どうせDoS攻撃なんか個人はターゲットにならんし、
やられてもまたWindows調子悪いなー、で終わり。

個人でもDOS攻撃を受けました。↑一応経験者でーす。

>>671
やった香具師にFDDを弁償してもらえ。

このソフト軽くてイイよね。
昔体験版使ってて、購入しようと思ったら高くて（9600円）諦めてzone使ってた。

久々にきたらDL版：3900円になってたので購入してみました。
みなさんよろしく！

　　　　　　　　　な
　　　　　　プ　　　　ん
　　　ー　　　　　　　　　て
　　　　　　　　？
　　ソ　　　　　　　　　　あ
　　　　　　　？　　　　　　　　　　お
　　い　　　　　　の　　る
　　　　　　　　　　　　　　　　　湯
　　　　な　　　　　　　　　　取
　　　　　　え　　替　　り

昨日あたりからパソコンを立ち上げて
ソフトを起動しようとすると
blackIce の警告？のようなメッセージが表示されました。
たとえば、メモ帳を開くだけでも、トロイの木馬を検出しました。
ネットワークに接続しようとしています。
上記のメッセージです。
また、BlackIceのログを見てみると
アプリケーションを終了しましたがたくさん表示されてました。
どなたか、この原因をお願いできないでしょうか＞
どうかよろしくお願いします。

>>675
プログラムの実効制限.........を解除しろ。

赤いマークｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!と思ったら、
自分のIPだった(´･ω･`)ｼｮﾎﾞｰﾝ

さんざん既出なのかも知れないので気後れしますが一応書かせて下さい
blackIceを導入してから↓が必ず警告されるのですがピコピコ気になって
しかたがないです。
baym-td4.baym.hotmail.comは無制限遮断にしてありますが
受け入れるしか内のでしょうか？
-----------------
時間, イベント, 侵入者, カウント
2004/02/06 7:17:24, UDP_Probe_Other, baym-td4.baym.hotmail.com, 8

ここ数日FTP command line overflow とかわけのわからんのが赤文字が表示される・・・
でもIPしらべたら自分のなんだよな・・・なんですかね、これ？
ヒット数７００とかなんだけど・・・

>>678↓これ受け入れないほうがいいですよ！

baym-td4.baym.hotmail.comは無制限遮断にしてありますが
受け入れるしか内のでしょうか？
-----------------
時間, イベント, 侵入者, カウント
2004/02/06 7:17:24, UDP_Probe_Other, baym-td4.baym.hotmail.com, 8

http://news5.2ch.net/test/read.cgi/newsplus/1076054632/176
なんですけど。このmpcって使ってる方いませんかー？

MediaPlayerClassic Ver6.4.6.8＋BlackICE英語版3.6ccbで使ってるが、別に問題ない。
とりあえずベースラインの更新を試して見れば。

>>682
レスさんくすです。
MPCって、いままで知らなかったんですけど
検索するとかなーり有名で実績あるソフトらしいので
だいじょうぶなハズだとは思うんですが。

問題無い、というのは explorer.exe (IEじゃないです)
からの外部への通信は無し、ということですか？
expolorer.exe の通信を
常に遮断
にしてみると警告鳴りますよね？
それともそういう通信があっても問題無い、ということですか。

と書き残しつつ今日はもう遅いので失礼します。。

ありゃ。今朝起きてPC起動してみたら
↑の explorer の警告出ません。
インストール直後の再起動前だけの
一時的現象みたいですた。

>>680
遅レスですが、無制限遮断にしたらこんな事に
*************************************
時間, イベント, 侵入者, カウント
2004/02/09 8:35:44, UDP_Port_Scan, baym-td3.msgr.hotmail.com, 139
******************
メッセンジャー.ホットメイル関係は使わないし、アンインストしているのに
なぜだろ？いずれにしろ下の設定でいきます。
Mode, オーナー, アドレス, ポート, タイプ, 開始時間, 終了時間, 名前,
0, BIgui, 64.4.25.1 - 64.4.25.255, , , 2004/02/06 2:33:43, 無制限,
//////

既出で当然なのかもしれないが、NovagとかMyDoomあたりだと、
NAVよりも前に反応してくれんだね。
削除までしてくれるわけではないが。
ちょっと感動してしまった。

[疑わしいアクティビティ] このシグネチャは、一部の電子メール クライアントで
発見された脆弱性に対応する二重のファイル拡張子を持つ電子メール

黒氷って、何気にすごくないか？
ある意味最高。

最高です

BIがさっき突然死んだ。OSはそのまま。
こんなこと初めて。
びびった。こういうときどうやって原因分析するの？

OSはwin2k BIは3.6ｃｂｚ

sygateと一緒に使ってるひといますか？
問題ありませんか？

>>691
ttp://forums.sygate.com/vb/showthread.php?s=&threadid=6440&highlight=blackice

実際には大方問題ないが・・・
そんなレベルの話は自分で確かめろってこった

>>691
使ってる。
全然問題ない。

>>693
公式に否定されてるのに「全然」なんて言って良いのか？

blackd.exeが無差別にリモートポート137へUDP Datagramを送ろうとしているのですが
これは何かご存知の方いらっしゃいますか？
１年ほど使っていますがこのような動作をしたことははじめてです。
BlackICE PC Protection　Version 3.6.44
blackice.exe　　　Version 3.6.48
blackd.exe　　　　Version 3.6.37
blackdll.dll　　　　Version 3.6.50

http://pc.2ch.net/test/read.cgi/sec/1075173212/114
のリンク先にあるリークテストのうちの
pcaudit
ていうやつをとりあえずやってみたら黒氷の
アプリ実行制御だとダイアログが出る前に
システムがハングアップしてしまいます。
SSMていうのを入れるとうまく防御できますが
それも黒氷のアプリ実効制御をオフにしないと
SSM入れてても同様にハングしちゃいます。
てことは、SSM入れて黒氷のアプリ実行制御は
オフにしとくのが一番いいんでしょうか？

ttp://www.eeye.com/html/Research/Upcoming/20040213.html

家 | 研究 | 近く起こる勧告 |EEYEB-20040213

日付は報告しました:
2004年2月13日

ベンダー:
インターネット・セキュリティ・システム

記述:
匿名の攻撃者が影響を受けたソフトウェアのデフォルト装置を危険にさらしアクセス(SYSTEM)のできるだけ高いレベルを獲得することを可能にする、遠隔に開発可能な脆弱。

厳しさ:
最高値

遠隔コード実行:
はい

ソフトウェアは次のものに影響しました:
BlackICE(すべてのバージョン)

オペレーティング・システムは次のものに影響しました:
すべての適用可能なプラットフォーム。

ステータス:
初期の報告審議。

>>698
デフォルトインストールってどの部分？？

9月15日から3000本の特別優待パック
まだ売り切れないね

ゾーンアラームと一緒はだめかな・・・

>>701
ZAはOKというFAQがあったはずだが
今のバージョンはしらん

>701
ZAとVBとBIDを併用してるけど問題ないですよ

ZAとBIDとNetLimiterの組み合わせでは、NetLimiterに問題が出たな。
アプリ別の速度制限が、次にアプリを起動するときに反映されなくなったので、ZAをアンインスコ。
ZA単体の問題かもしれないが、ZA+NetLimiterは試してないので分からん。

最新バージョンｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

3.6ccb 変更点について
・ Workstation サービスのバッファオーバーランにより、コードが実行される脆弱性（MS03-049）の検知/防御に対応
・ Cisco VPN クライアントがインストールされた環境で、エージェントがアップグレードする際にアップデートループが起こることがあった現象を修正
・ 証拠/パケットログでロングファイルネームを使用した際に、バッファオーバーフローが起こることがあった現象を修正
・ 証拠ログ内でキャプチャされた情報の時間のギャップに関する現象を修正
・ 攻撃リストのファイルサイズ設定に関する問題を修正

直ﾘﾝｷｳﾞｫ

http://www.act2.co.jp/x_act2main/x_DWNL/updater/RBI.html

ttp://blackice.iss.net/update_center/index.php

　　　　　　　　　　　　 　∧_∧
　 　＿　　　　　　　　　(　　＾＾)　< ぬるぽ　
　／／＼　 ﾊﾟｶｯ！ 　ミ＿ノ
　|￣|［l■ＸＸＸＸＸＸＸ⊂⊃
　|　 ||￣||
　|　 ||｜||
　|　 ||/゜||
　.＼||　 ||

　　　　　　　　　　　　　　 .ﾉ′　　　 ｝ 〕　　　　,ﾉ　　　　　　　　　　　.ﾞ'┬′　　 .,ﾉ
　直リン　　　　　　　　　　　　　　　　 ﾉ　　　　　 ｝ ﾞl､　　 」′　　　　　　　　　　 .,/′　　　.,ﾉ _,,y
　　　　.,v─ｰv_　　　　　　　　 〕　　　　　　〕 .|　　.ilﾞ　　　　　　　　　　　　《　._　　 .,,l(ノ^ﾉ
　　　,i(厂　 _,,,从vy　　　　　 .,i「　　　　　　.》;ﾄ-v,|l′　　　　　　　　　 _,ノﾞ|.ﾐ,.ﾞ'=,/┴y／
　　　l　　,zll^ﾞ″　 ﾞミ　　　　.ﾉ　　　　　　　.il|′ｱll!　　　　　　　　　　 .＞‐〕 ＼ _＞＜
　　　《　il|′　　　　 ﾌｰy,_ .,i″　　　　　　 ||｝ｰvrﾘ､　　　　　　　　　　　　　¨'‐.｀　　 ｛
　　　 ＼《 ヽ　　　　　.ﾞli ._¨''ｰv,,_　　　　　.》′　 ﾞﾞﾐ|　,r′　　　　　　　　　　　　　　　 ｝
　　　　　 ＼　,ﾞr_　　　 l8'　　　 .ﾞ⌒＞-vzﾄ　　　　.ミﾉ′　　　　　　　　　　　　　　　　 〕
　　　　　　 .ﾞ'=ミ:┐　 .「　　　　　 ./ .^〃　　　　 :､_ ﾘ　　　　　　　　　　　　　　　　　　 .｝
　　　　　　　　 ﾞ＼ｱ'　　　.--　　,,ﾉ|　　　 ､　　　 ﾞミ｝　　　　　　　　　　　　　　　　　　 :ﾄ
　　　　　　　　　　 ﾞ^ｰ､,,,¨ -　　 ''¨.─　　　:!.,　　　ﾘ　　　　　　　　　　　　　　　　　　 ﾉ
　　　　　　　　　　　　　 〔^ｰ-v､,,,_,:　　　　 iﾞ「　　　｝　　　　　　　　　　　　　　　　　 .,lﾞ
　　　　　　　　　　　　　 l!　　　　 .´ﾞﾌ'ｰx .,y　　　　］　　　　　　　　　　　　　　　　　 'ﾞﾐ
　　　　　　　　　　　　　 |　　　　　,/ﾞ　.ミ;.´.‐　　　 .］　　　　　　　　　　　　　　　　　　 ﾐ,
　　　　　　　　　　　　　 |　　　　 ﾉ′　ヽ　　　　　　〔　　　　　　　　　　　　　　　　　　　ﾐ
　　　　　　　　　　　　　 ｝　　　　｝　　　　　′　　　 ｝　　　　　　　　　　　　　　　　　　　｛
　　　　　　　　　　　　　 .|　　　　.ﾐ　　　　 .と　　　　 〔　　　　　　　　　　　　　　　　　　　 〕
　　　　　　　　　　　　　 .｛　　　　 ＼,_　　 _》､　　　 .｛　　　　　　　　　　　　　　　　　　　 .｝

ファイルへの直リンｷｳﾞｫ

>>712
シリアル入れて自分でDLしろよｳﾞｫｹ

>>712
>>711

>>713
俺は知ってるけど、おまえになんか教えてやんないよ。
ばーか！
っていうか、買え！！！

>>715 よ、それは >>712 へのレスなんだろ？
>>713 に返すにしては文章が変だぞ？

変なのが沸いてんなぁ・・・
しかもageて書いてるのがいるし (;´Д`)y─┛~~

>>715
モチツケ
ところで >>710 への ガッ(AA略 は無いのか？

>>715
　 ∧∧ 　　　　　　　　　　　　　　　　　　　　　　　 ∧＿∧
　(ﾟДﾟ ) 　　　　　　　　　　　　　　　　　　　　　　　（　´∀｀）
　 ⊂　 ヽ　　　／￣￣￣￣￣￣￣￣￣＼　　 　/, 　　つ
　　 〉 ﾉﾉ~　＜ 　　　まぁ　おちけつ　　 　　＞　（_（＿,　）
　　∪∪　　　 ＼＿＿＿＿＿＿＿＿＿／　　　　　しし'


　　　　　　∧＿∧　　お・ち・ケ・ツ！
　 　　　　（´Д｀　）
　　　　　　　/⌒　ヽ
　　　　　　 / ｨ､　　 ヽ
　　　　　　/ /　ヽ　　ヽ ､_
　　　　　 / /　　　〉　 _）_,）
　　　　⊂ノ　　 ／　／, '
　　　　　　 　／　／／
　　　　　　　(　 く　<
　　　　　　　 ＼　ヽ､`､
　　　　　　　　　＼　ｎｎ
　　　　　　　　　　 〉' ( (
　　　　　　　　　 　しｲノ

なんかここ数日TCP_Probe_HTTPの検出が異様に増えてきた。
一時期のMSブラスト並に一時間辺り20回は検出する。
またなんぞへんな奴でも流行ってきているのか？
それとも俺の入っているプロバイダが集中砲火でも浴びているのかな？

3.6.ccd

ﾊｹﾞ遅

　 ∧＿∧
　（　・∀・） 日本語版3.6ccdﾏﾀﾞ?
　（　∪ ∪
　と＿_）__）

↓なんだってね！　見直したよ。

BlackICE はパターン マッチング ファイアウォールではありません。

BlackICE は特許出願中の 7 層プロトコル分析エンジンを使用しています。このエ
ンジンは、動的にネットワーク送信を分析して、ハッキング アクティビティを探し
ます。BlackICEの技術は、パターン マッチング システムより著しく高速で、何倍
も信頼性の高いものです。さらに、BlackICE は、ひどく断片化された攻撃でも対処
することができます。

ISS 製品における SMB 解析の脆弱点
http://www.isskk.co.jp/support/techinfo/general/SMB_ISS_165.html

>BlackICE PC Protection 3.6 ccd (日本語版は近日リリース予定です)
>BlackICE Server Protection 3.6 ccd (日本語版は近日リリース予定です)

　　　　　　　　　☆ ﾁﾝ　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　　　　　　　　　　　　　　　　　　　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　 　 　 ☆　ﾁﾝ　　〃　 ∧＿∧　　　／￣￣￣￣￣￣￣￣￣￣￣
　 　 　 　 　　ヽ　＿＿_＼（＼・∀・）　＜　　3.6ccdのリリースまだ〜？
　　 　 　 　 　 　 ＼＿／⊂　⊂＿ )　　　＼＿＿＿＿＿＿＿＿＿＿＿
　　 　 　 　 　 ／￣￣￣￣￣￣ ／|
　　　　　　　　|￣￣￣￣￣￣￣|　 |
　　　　　　　　|　.愛媛みかん.　 |／

ccbだけど、Windows: Windows Media Plyer 用セキュリティ問題の
修正プログラム (KB828026) が、インストールしても毎日ダイアログが出てくる。
かれこれ10回はインストールしたかな。
ベースライン更新しても、許可したプログラムが頻繁に警告されるし。
なんか黒氷うざくなってきた。
大した仕事してなさそうだし、無くても良いんじゃ(ry

>727
APP off

>727
>修正プログラム (KB828026) が、インストールしても毎日ダイアログが出てくる。
インスコしてないから出る！
アップデートも、ろくにできん輩はつかわんでよし！

>727
>修正プログラム (KB828026) が、インストールしても毎日ダイアログが出てくる。

漏れもなったけど、
Media Player本体を上書きインスコしたら直ったよ。

>>730
私の場合、Media Player本体の上書きインスコ、
ccbの修復、黒氷自体の再インスコでも直りませんでした。
ccbをccd(もしくはその逆)と言ってはばからないact2に問い合わせる気にもなりませんし、
次バージョンに期待、といったところです。

BlackICEが良いというかIDSそのものが良いというか、とにかく結構いける話。

FTP Serverを起動しているとき警告がでた。防御レベルを最高にしていたのが原因
かなと思ったがそうではなかった。
Serverは、FTPクライアントが接続した直後のホームディレクトリから下の階層は移
動可能だがセキュリティを考慮して上には行けないように設定してある。
ところが、クライアントがホームディレクトリの上に出ようとした 操作ミスに反応
して真っ赤なやつが出たというわけ。
Serverの設定があるので現実には出ることができないにしても結構シビアだなぁと
感心したよ。
案外、nyなんか使っている人には役立つかもと思ったんだが･･･テストしていないの
でよく分からない。

BlackIce、XーGUARD、NIS2002と同居させても問題ないでしょうか？

自分のＩＰアドレスから危険アタックが
しょっちゅう来るんですけど
コレは誤認でしょうか？もしくはクラッカーの手口でしょうか？

>>733
重くて使い物にならないと思われ

BlackIce入れてますが、ShieldsUp!
でスキャンしても何も反応しません。
大丈夫でしょうか？

BLACK　ICEを使って、ShieldsUpをかけたら、開いているポート、しまっているポート、
隠れているポートが表示されているはずでーす。
↑BLACKICEで　ShieldsUPしたら、開いてるポートって、ないけどねぇ！
ポートのほとんどしまっている状態、隠れているポートが10個ぐらいかな？

>733
黒柱と先生は同居中。
使ってまつ！

今週、WINDOWSいれかえたときに黒氷入れ忘れて、
ウィンドウが出ないと不安で。。。
つか、生WINDOWSは初体験でﾄﾞｷﾄﾞｷ。

黒氷のシグネチャは100枚以上積んでるそうだが、
こんなに大量に積んだら当然スループットがガタガタになるのが普通のところ、黒氷は特許
申請中？とかの先進の機能でストレス無しと大法螺吹いているようだが・・・？

光の人、本当はどうなの？

修正
　　100枚×　1000枚○

スループットは思ったよりも落ちんよ
でもCPU不可がスゲェスゲェ

snortには２０００ほどつんでますよ＞sig

BlackICE 3.6.ccf (this release)
- Fixed a few false positives in ISAKMP blocking that prevent access to
some VPN servers.

BlackICE 3.6.ccd
- Updated to detect and block attacks that cause a buffer overflow in
Check Point VPN clients and Check Point VPN-1.
New IssueID: 2110045,ISAKMP_Certificate_Request_Overflow
Refer to http://xforce.iss.net/xforce/xfdb/14150.
- Updated to detect an exploit of the ASN.1 vulnerability covered in
MS04-007.
New IssueID: 2120012,SSL_ASN1_Overflow
- Updated SMB parser.

日本語版ﾏﾀﾞｰ？

>>738
フィルタのポジション関係で
先生と黒氷は相性いいらしいね。
茂さんとは仲悪いらしいが、
他のpfwとはどうなんだろ？

黒氷+先生+おみとろんでやってます

バスタとはわるいな。少なくとも漏れのサブＰＣでは。
たしかに先生とはまったく問題ない今のところは。
あとマカとは愛称よかったね。ただ１っ花月しか使わなかったけれど。

>>745
Look'n'StopでBIのIDSを併用しているが問題ないように見受けるよ。
BIのIDSを導入した理由は、BIはシグネチャをグループ分けしており、入り口で振り
分けてスキャンするなど高速化しているらしいので興味を持ったが、シグネチャの
数から見れば確かに軽いね。
Snortでのチューニングの煩わしさから解放されるにしてもゼニのかかりすぎが難点。

(^^)

誰か答えてくださいm(__)m

>>750
自分のIPアドレスからって 127.0.0.1 のことか？

>>751
違います。自分のＰＣのＩＰアドレスそのまま

ＤＮＳ名も自分のＰＣのものです

>>750
「危険アタック」とは何？
もっと具体的に書いたら？

>>754
[サービス不能攻撃] 不正な形式の PPTP 接続要求が検出されました。
これにより使用しているサーバーがクラッシュする可能性があります。

あとは進入の恐れがあります等です

ヤフーメッセンジャー（チャットソフト）について
YahooMSG_UserID_Overflowというイベントが今日だけで350回以上ありました
USヤフーのメッセンジャーでは去年の暮れに対処済みのものなんですが、
日本のヤフーメッセンジャー最新版では対応してるか探しても見つかりませんでした
どなたか、このことに知っておられる方おりませんか？
よろしくおねがいします
イベントインフォ：http://www.iss.net/security_center/reference/2110036.html

同じ所からのカウントが3000超えるちゅーのは普通なんですか？
あっという間にこんな数字に達したんだけど・・・

3.6ccbのfirewall.iniを、テキストエディタで編集たくてもファイルが使用中で上書き出来ないんだけど、
最近のバージョンはfirewall.iniがいじれなくなったのかな。

仕方ないからWindowsをセーフモードで起動して書き換えたが。

X 編集たくても
○ 編集したくても

>>758
黒氷が起動してるからファイルが使用中って出るんだろ・・・

>>760
エンジンを停止してフロントエンド部も終了させたがやっぱり駄目だったよ。
つーか、以前は特別なことをしなくても、そのままエディタで書き換えられた記憶があるけど。

>>761
今試してみた。
黒氷起動してても普通に編集できるんだが。

>>762
もしやと思い、Apprication Protectionを切ってみたらメモ帳で編集できるようになったよ。
以前いじったときにはAP offだったから問題なかったんだろうな・・・
レスくれた方、ありが�d。

おまいら3.6ccfでますたよ

ttp://www.act2.co.jp/x_act2main/x_NEWS/News/040308_BlackICE.html

直リンｷﾎﾞﾝﾇ!!

3.6ccf 今日出たらしいねぇ
↑の所にメールが来てた。

>>765
ttp://www.act2.co.jp/x_act2main/x_DWNL/updater/RBI.html

>765
http://www.blackice.jp/download/
ここでe-mail入れるとDLできます

＜＜　【緊急】避難しつつ原発浜岡の停止に参加・友人に広めてください　＞＞
チェルノブイリと同様に偏西風に乗って、七月頃中部地区関東地区に核の雨が拡散し、何千万人が癌に侵されてしまいます。

●陳情詳細は２チャンネル臨時地震板のトップ・・【東海】原発浜岡なんとかスレ【地震】・・参照して下さい。
　トップには・・とめよう裁判の会（訴訟団募集のお知らせ）で訴訟団加入申しこみお願いします
Ｎ０.８８には・・メ−ルで国内・外のマスコミにメ−ル攻勢
　ＮＯ．４４と４６には・・陳情書の雛形、提出方法（郵送）あります。

原告団・メ−ル攻勢・陳情増にならないと国会も動きません。原告団は３００名余、メ−ル数も不足、陳情書も東京で４市議会可決のみ。
●中国ＯＤＡよりも地方へ企業誘致の税源移譲、全国の津波防波堤や原発、石油コンビナ−トも危険整備すべき問題でメ−ル等に入れてください。

●七月東南海地震、５月か９月関東大震災（火災旋風で首都消滅）ＮＯ，３５参照、安全圏に避難しつつ攻勢もかけてください。　
詳細は世界の地震学者・各新聞社共同制作本　ニュ−トン「せまりくる巨大地震」ご一読を

●ニュ−トンで全国の活断層・過去の２次被害状況把握できます
★２チャン存続廃止に追い込む日本政府に断固反対！　韓国＞日本亡国！　

黒氷ってライセンスキー情報等を自分の鯖に送ったりとかしているのかねぇ・・・

ﾄﾗｲｱﾙ版に尻入れればよさげ。
ﾄﾗｲｱﾙ版からのうｐでーともできた。

>771
通報しますた。こういうﾔｼはまもなくﾀｲ━━━━||Φ|(|´|�D|`|)|Φ||━━━━ﾎ!!!

>>770
PFWで黒氷のアウトパケットを遮断すればいい。
もしくはDNSサーバーのみの逆引きにしてから、
DNSへのIP & Portのみを許可にする。

意味がわからんかったら気にするな。
そんなアホにはセキュリティってのは縁が無いから。

このBLACK　ICEは、ポートスキャン等のハッキングに対して、防御能力は
高いけど、ICMPを使った攻撃に対して、どれくらいの能力を持っているんだろうか？

ICPM　【アイシーエムピー の解説↓】
フルスペル ： Internet Control Message Protocol
　IPのエラーメッセージや制御メッセージを転送するプロトコル。
TCP/IPで接続されたコンピュータやネットワーク機器間で、互いの状態を
確認するために用いられる。ネットワーク診断プログラムpingが使う。

黒氷ってどっかにﾊﾟｹｯﾄをはいているのか？

>>776
YES

>>776
NO

>>776
MAYBE

>>776
wishful thinking

>>776
akamai

警告のEventsでIPとDNSは表示されるがPortが表示されない・・・
これが仕様だとすると、一寸情けないと言うか面白くない。

表示項目の設定を知らないのかよと釣られてみる

項目のタイトルを右クリックし、columnsを選ぶ

ありがとう、これでずいぶん使い勝手がよくなったよ。

真っ赤な警告がきたんだが、EventInfoの2001310"FTP のコマンドラインのオーバフロー"
その時デーモンは立ち上げていなかったので不審に思ってポートを見てみたら、接続相手の
ポートが21だった。なんか変だよこれ（笑

ノートンと共存させてる人いる？
誤認でノートンからアタック来ない？

漏れはＮＩＳ２００４と共存させているけどアタックは来ないね。
黒氷のレベル最高にしているけど。

そっかー。であと一つだけ聞きたい
最初の設定でport113だけ信頼されてるけど遮断していいの？

>>789
IRCやメールサービスで、なかには113ポートに問い合わせてくるのがあるらしい。
最近のあんまりないと思うが・・・漏れは切っているが問題ない。
環境によって違いが出るのでその辺は試したらよいのでは。

>>790
ありがとう

ccgあげ

ccgの、

Added new network decodes as defined in the History section of this document

って、何のこと？

なにかどこかに帯域めいっぱい使って送信してるんですけど。
blackd.exeをタスクマネージャから終了させると、止まる。
何？

>>794
悪い方を想像してみたんだが
・黒氷サイトへ、あなたの個人情報を根こそぎ送信している可能性。
・トロイがblackd.exeを乗っ取り、どこかに送信している可能性。
（笑）
とにかく、先ず送信先を確かめるのが第一。
黒氷のFWの方を使ってないので分からないが送信先を確かめることができないのかな？
だとすると。
↓のTCPコネクションモニタなんかを使ってプロセスから送信先を確かめたらよいのでは･･･
ttp://hp.vector.co.jp/authors/VA036210/aboutnegies1.html

↑のTCPモニター（NEGiES）は黒氷と相性が悪いので↓の方がよいかも。
ttp://hp.vector.co.jp/authors/VA032928/index.html

>>794
BlackICEを狙った攻撃。
即刻英語版ccgにアップデートすべし。
俺も食らった。

ウチでも帯域めいいっぱい使って何かを送信って症状が出たので
ttp://hp.vector.co.jp/authors/VA032928/index.html
入れてみたんだけど、送信先はどうやって調べるのかな？

今日一日で10GB近く送信されちゃったみたい…いったい何を送信されちゃったんだろう

たぶんこのへんの話だと思う:
http://www.eeye.com/html/Research/Advisories/AD20040318.html
http://xforce.iss.net/xforce/alerts/id/166

あと、これか?
http://xforce.iss.net/xforce/xfdb/15442

例によって、act2 の Web サイトにはなーんも出てないですのう。
あんなとこもうあてにせず、さっさと英語版にしましょう。
日本語版 → 英語版のバージョンアップは可能です。

アップデートを配備する間は、ICQ プロトコルが使用されていないネットワーク環境において一部の ICQ トラフィックをブロックするのが賢明です。発信元ポートが 4000 である UDP パケットをネットワーク境界でブロックしてください。

>>801
ttp://www.isskk.co.jp/support/techinfo/X-ForceAlerts.html

利用されているProtocolがUDPなのでTCPモニターでは確認できないね。
いまんとこ早急にccgにアップするしかないだろ。

やっぱりみんなそうなんだ。
ノートンがやけに警告出すんだよ。
日本語版ccgはまだなんだ。

早速ccgにアップデートしました、情報くれた人達ありがとうm(_ _)m

それから。因果関係は不明ですが、HDDのパーティションが二つふっとびました。

>>806
maji?

偶然だと思いたいのですが。心配な方はディスクをチェックしましょう。

ワーム情報が出た:
http://isc.incidents.org/diary.html?date=2004-03-20

>>808
偶然でも無いかも、ウチも再起動時にスキャンディスクが
作動して、いくつかのファイルやフォルダーがリカバリーされていた…

無知ですまんですけど、ルータ使ってる場合
RemoteからのUDP4000塞いだらうｐだてしなくても大丈夫？

>>809
あ、うちも正確にはそんな感じでした。
プログラムがいくつか起動できなったのに気付き、チェックディスクしたらエラーがわらわらと。
壊滅的なほどやられてたので、あきらめてバックアップから戻した次第です。

>>810
それでいいんじゃないかと思います。ただしソースポートが 4000/UDP になってるやつだよ。

>>811
THX。火壁の方で防いでみまつ。
ホントはccg入れれば一番なんだろうけど、英語版だから何となく不安で・・・

アクト・ツー( ﾟДﾟ)ｲｯﾃﾖｽｨ

つーか、元々こんな会社だったのか、

日本語化できればなぁ、、

あれ。。うちは何も異常なかった･･･ていうか気付かなかったのかな？？
ケリオでblackd.exeはうｐでーとサイト以外は×にしてて
一回も警告は出なかったけど。

やられた人はずっと一日中接続しっぱなしな人ですか？

今回、トラブルが起きた、または何事もなかった人に分かれるようだが
漏れは何事もなかった方なんだが理由はよく分からない。

↓のどれかだろうと思うが、
・ICQを使ってなかった。
・IDSしか使っていない。
・他のFWで、BlackICEのファイルは偶々接続をカットしていた。

2000にいれたらセーフモードでも起動できなくなった・・

ちょっとまって。もうすでになんか仕込まれてるってこと？
再起動怖くてできないんだけど。

悪党2は全くアテにならんので、情報はISSで収集するのが吉ですよ。
Wittyワームはイニシャルセクタにデータを書き込んでディスクをあぼーんさせる可能性有りとのこと。

日本語版リンク
ttp://www.isskk.co.jp/support/techinfo/general/ICQ_ISS_166.html
ttp://www.isskk.co.jp/support/techinfo/general/Witty_167.html

>>815
＞ ・ICQを使ってなかった。

インスタント メッセージング ソフトウェアを標的とした攻撃を検出するために、PAM は ICQ も含めたいくつかの IM プロトコルを解析します。

だからＩＣＱ以外も

>>815
ターゲットの選び方が完全にランダムではないからという理由もありそう。
感染した自分のマシンから吐き出されたICQパケットをキャプチャしといた
のですが、今ざっと見ると宛先アドレスの第一オクテットは224〜239に
なってますね。

それと、>>819の言うとおりICQの有無には関係ありません。現に俺の感染
マシンにはICQなど入ってなかったよ。

あと、喰らった人は今頃復旧に追われ、ここに書き込むどころではないのでは。

これ食らってもシステム壊されずに済む方法無いの？

>>821
http://www.isskk.co.jp/support/techinfo/general/Witty_167.html
を嫁。「20,000パケットを送信後、ハードディスクにジャンクデータを書き込」
むそうなので、やばいと思ったらリブート (この際いきなり電源切ってもいいかも)。
たぶんそれしかない。

逆にいうと症状が派手な分、すぐ気付くからまだ良い方かも

"Witty" Worm Wrecks Computers
http://slashdot.org/articles/04/03/21/0023254.shtml

>>822
20000パケットってどんくらい？
200ＭぐらいＵＰしてたんだけど。

>>825
1パケット (正確にはフレーム) が1KB前後 (固定長ではない)。後は計算してね。

＞ISS X-Forceは感染したシステムを、再起動せずにネットワークから切り離すことを
＞推奨します。

で、ネットワークにもつなげない、再起動もできないでその後どうしろと？

国内サイトではf-secureが早かった
http://www.f-secure.co.jp/v-descs/v-descs3/witty.htm

機能化、おとといから、なんかのファンが今まで以上に回っている。

HDDのような気がするが・・・

ccg にうpしたのだけど・・・

>>829

感染し発病していたら、登り帯域使い切るので書き込みなんぞ出来ないから
たぶん大丈夫と思われ。

>>830
サンクス！！

>>808
のディスクのチェックって、スキャンディスですか？

それとも、ウィルスチェックのどちらでしょうか？

Win2k付属のスキャンディスクでは、エラーはありませんでした。
ノートンアンチウゥルスは手動でアップデートし、これからウィルスチェックを行ってみます。

やられました。
うちはCATVでUP2Mbpsのはずが9Mbpsで何かデータを送っていたので気付きました。
ttp://blackice.iss.net/issEn/DLC/consumer/blackice_PC_Protection.jhtml
で英語版ccgにアップしました。

>>829
OSのスキャンディスだよ。

>>832
ｻﾝｸｽ!!

ウチはADSLですがデータアップの様子はなかったので、
単にHDDのあぼーんの直前かもしれません・・・

これってアンチウィルスソフトの将来のアップデートで対応するんかな。
怖くて再起動できんよ。

Wittyのターゲットが、

影響を受けるバージョン:
BlackICE・Agent for Server 3.6 ebz, ecd, ece, ecf
BlackICE PC Protection 3.6 cbz, ccd, ccf
BlackICE Server Protection 3.6 cbz, ccd, ccf
RealSecureｮ Network 7.0, XPU 22.4 and 22.10
RealSecure Server Sensor 7.0 XPU 22.4 and 22.10
RealSecure Desktop 7.0 ebf, ebj, ebk, ebl
RealSecure Desktop 3.6 ebz, ecd, ece, ecf
RealSecure Guard 3.6 ebz, ecd, ece, ecf
RealSecure Sentry 3.6 ebz, ecd, ece, ecf

というのにもビックリだが黒氷をアンインスコすれば、問題ないかな？

それも、不安なところが痛いのだが・・・

>>834
バスターが次のパターンファイルで対応する予定。
他のは知らん。

age

■ [緊急] BlackICE Witty ワーム出現に伴う、英語版対策バージョン緊急公開について


　平素は RealSecure BlackICE PC/Serevr Protection をご愛用いただき、誠に
ありがとうございます。

　現在、BlackICE 製品の脆弱店を狙ったワーム「BlackICE Witty」が拡販中です。
このワームに感染した場合、Witty ワームはランダムIPアドレスに対して感染を試
みます。 Wittyワームは、20,000パケットを送信後、ハードディスクにジャンクデー
タを書き込み、ディスクイニシャルセクタの破壊を引き起こします。

＞脆弱店

大急ぎで対策バージョン入れました

何がアップロードされたのかって(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙしていたよ
昨日から

PCを守るソフトでやられちゃあ世話無いなぁ

警察庁のWEBにも出てる

ttp://www.cyberpolice.go.jp/important/20040320_221628.html

>>834
ノートンはUSAでは対応したので、日本も明日には対応したUPDATEがあるかも。
http://securityresponse.symantec.com/avcenter/venc/data/w32.witty.worm.html

昼間、ISSに電話したら、夕方には3.6ccgの日本語版を緊急にリリースすると
言っていたから、英語版入れずに待っていたけどまだ出てない。
怖いので英語版3.6ccg入た。
嘘つくな・・・といってもどうせ営業の開発状況を全く考慮していない出鱈目トーク
だろうからなぁ。
ついでにact2に文句のメール出してやった。どう回答してくるか楽しみである。

しかし、ヴァージョンアップ忘れていて3.6ccbだった所為かまったく感染しなかった。

このワームはルーター入れててゾヌ入れてたら
感染しないのではないかな

火壁で発信元ポートが4000のUDPパケット見張ってるけど一向に来る気配無い。
ルータで全部遮断してるぽい。

英語版にしたけど我慢出来なくて日本語化
でも少し文字化け(´･ω･`)

具体的に感染してるかどうかはどのようにして確かめればいいのですか？
そっこうで黒氷アンインストールしたのですが、ワーム本体の場所とかレジストリ
変更とかもっと詳しい情報はまだ出てないのでしょうか。


自分の黒氷は一年前からずっと更新してないから>>835のターゲット一覧には
含まれていませんでしたがそれはそれで不安…そしてNIS2003も一緒に使って
たからNISのログ見たら「Black.exeが初めてインターネットにアクセスしようしてます」
という記録が残っていて、詳しい接続ログ見ようと思ったら新しい日付のしか
残っていなくて古いのは削除ずみ…

あぁ、わけわかんねぇ。誰かまとめてください…

>847
>830

>>848
なるほど、サンクスです。

ちょっと焦ってて過去レス見てませんでした。
よく見たら説明サイトもあるし、黒氷のサイトでもちゃんと詳細のっけてましたね。
英語版DL順序もあったし、今から英語版の対策済バージョンに更新します。
これで安心と。メモリ感染ってことはレジストリ関係なしですよね。


とりあえずビビった。きんたま級にビビった。(((( ;ﾟдﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

いまだに『BlackICE Defender 2.9car J』を入れっぱなしで使っているPCがあるのだけど
とりあえず今回の件では影響ないですかねぇ。
動作保障対象外とは知りつつも、NT4.0サーバ＋IISが動いています。
先にNT4.0をなんとかしろといわれそうですが．．．

>>849＝>>847です。間違えてました。一応修正しときます。

>>850
えっと、2.9carj を入れた W2K に食わせてみたら、ブルースクリーンで堕ちました。
というわけで影響はあるけれど、攻撃マシンにならないだけマシですね。

アクト２のサイト。
英語版DLできるみたいだけど
これってKEY入れなくてもDLできるんだけどいいの？
それともこれは体験版なのかい？

漏れ、とっくに更新期限切れてるから
アプデトしていいもんなのかどうなのか・・・

act2必死だな。

日本語版出来るまで、まてないことがやっとわかったか・・・

>>853
体験版ではない。

期限切れているなら、やってみたほうがいい。
はねられないと思うが、自己責任でプリーズ・・・

英語版ccgには上書きが出来た・・・

>853
入れるときライセンスキーが期限切れで通らないんとちゃう？

>>852
サンプルコード作ったんすか

>>857
おまいなあ
ワーム本体がネットワーク流れてんだからキャプれば良いだけだろが
ttp://isc.incidents.org/diary.html?date=2004-03-20

このレベルでIDS使ってて意味あんのか？

>>857
そんな高度なことはしてないっす。感染マシン (3.6ccf) の挙動を別マシン (2.9carj)
から観察してたらいきなりブルーになった、ということです。

>>855
英語版 ccg アップデータ (BIPCPSetup.exe) と act2 が慌てて配ったやつ (BIPCPSetup-E.exe)
って全く同じものですが。

なんかccgにUPしたとたん
UDP 28800がｶｳﾝﾄしまくるんだが
これが例の奴？
10秒に一回ぐらいの割りあいでｶｳﾝﾄしてるよ・・・
UPする前までは感知しなかったんだが。

UDP_Probe_Other,
ﾛｰｶﾙ 28800,
UDP,
12.205.143.15
ﾘﾓｰﾄ 32784,
IP 12.205.143.15
port=28800&reason=Firewalled

英語版入れる時、日本語版削除せずにインストしちゃったんですが大丈夫でしょうか？
普通に動いてるみたいに見えるけど思わぬ不具合とかでるのかな？

>>861
私は再インスコしました(w

ISS本家ｻｲﾄからccgﾀﾞｳﾝﾛｰﾄﾞ上書→このｽﾚ見てact2ｻｲﾄへ
→削除→act2ｻｲﾄからﾀﾞｳﾝﾛｰﾄﾞしたのをｲﾝｽｺ・・・

ルータあるけど、念には念をのつもりで入れてる黒氷に
まさか振り回されるとは思ってなかった(w

http://www.isskk.co.jp/support/techinfo/general/Witty_167.html

影響を受けるのは3.6だけで、
古いバージョンは大丈夫なの？

>>858
そりゃ感染した人はそうだろけど

ワームにはむかつくが廃れたスレに人が集まってくれてうれしいヨ

へー、いつの間にかこんな事になっていたのか。
4000番のポートはルーターの方で閉じてるから
PCの方には来てないね。

これってシステムドライブ以外も壊すのかな？
俺は完全にやられてシステムリカバリしたけど、
その後に拡張ドライブにもインデックスエラーが見つかったんだよ
システムドライブにあったデータを拡張ドライブにバックアップしておいたから、
それが反応したのかな・・・？
それとも、拡張ドライブもフォーマットしなおしたほうがいいのかな？

【緊急】ネット投票の協力
CNNのネット投票に協力してください。
今回の台湾総統選挙は公正と思いますか
ぜひ台湾に「Yes」を
http://www.cnn.com/2004/WORLD/asiapcf/03/20/taiwan.elections/index.html
QUICKVOTE
Was Taiwan's presidential vote fair?
Yes ●
No
宋楚瑜氏が先程、このネット投票の結果を利用して、選挙無効を群衆に訴えて
います。宋氏に悪用されないようにしましょう。
「台湾の声」編集長 林建良（りんけんりょう）拜

>>868
そこまでなっていてなぜちゃんとしたソースから情報を求めようとしない？
いくらでも出てることなのに

ccgうｐでとできますた

誕生日にこれ食らいました。
と言っても、確定したわけじゃない(何かのツールでそうだとわかったわけではない)
んですが。
夜中にYahoo!モデムから直結で使用、数時間経ってから再起動しようとしたら、
タスクトレイのアイコンが全然でないし、スタートメニューから起動しようとしたものも
立ち上がらない。HDDは動いているし、モデムが妙な点滅や繋いでいる電話機のring音…。
(やたら攻撃を受けているときになる現象)
シャットダウンさせようにも、各プログラム(explorer.exeとか)強制終了しないと
駄目な状態で、次回起動時にはWinlogon.exeのアプリケーションエラーな始末。

HDD中身って駄目っすか。会社退職してからフリーで細々とやってた3ヶ月分のデータが
消えちまった…。バックアップ手段手に入れる前にやられたよ…。
BlackICEなんて入れなきゃ良かった??? ショボーンAA略

アップデートせずにワーム対象外の3.6cbx使っていてﾖｶﾀ

>>872
今日誕生日なのか？

>>874
20日が誕生日でした。
その日の午後6時頃からおかしかったです。
もう呆然。
リブート繰り返してたらもう駄目ぽ？

>>870
すいません。
よく調べたらランダムなハードディスクの、ってなってました。

やられた・・・
復旧作業中です｡･ﾟ･(ﾉД`)･ﾟ･｡

すいません。
基本的な質問なんですが、
感染後フォーマットしてリカバリした後、
そのドライブをチェックディスクでチェックしてエラーが出なければ、
ひとまずは大丈夫なんですよね？
僕の調べた範囲ではHDDに物理的ダメージを与えるわけではないと思うので

Act2に抗議してやる。

HDDの内容って元に戻せない状態にされちゃうんですか。
今日出勤するの怖い。
会社のサーバ、これ入れてあるんだけど。

>>880
会社のサーバーならルーターではじいいてFWでもはじくと思うけど

>>881
ルータが以上に4000/udp受けてて情報無かったんで、
唯一BlackICE入れてあるサーバに対して、穴あけて通してました。
サーバと言っても、ほとんど個人用のファイルサーバなんですが。
あほです。はい。

あ、以上→異常

HDDの中身、別のPCに繋げたらちゃんと見えました。
これをそのまま使うのは危険ですかね。
>>872氏の言うように、winlogon.exeのエラーとなります。

>>872です。
ねぇねぇ、
http://www.act2.co.jp/x_act2main/x_NEWS/News/040321_BlackICE.html
ってどう言う事よ？
「先日発見された、 ISS 製品における ICQ 解析の脆弱点 を狙ったワームが現在拡販中です。」

拡販中って？　売ってたのか、ワーム。
ウィルス対策ソフトメーカがウィルス作っているとは思ってたがｗ
まさかここもか…。作るなら他社製品向けワーム作って売ってくれよ。ｗ

ww

>>884
登録者向けメール見てみれ

>>> 　現在、BlackICE 製品の脆弱店を狙ったワーム「BlackICE Witty」が拡販中です。

脆弱店という店を狙われたらしい。
現在復旧中。もう二度とつかわねぇ

拡販age
試用版は古いものがDWできるようだが?

結局まとめると
1 HDDの中にワーム本体が書かれるわけではない
2 HDDは直接破壊されるわけではない
3 HDD中の既存データは変更されない
4 メモリに巣食うのでリブートで消える
5 再起動では復活しない
6 HDDのイニシャルセクタを何とかすればよい？
ってことですか
出張から帰宅するのが怖いよ、うち、Y!BBからモデムで直結してるだけだから。
嫁さんに聞いたら、20日に電話機が短く何度も鳴ってたとか言ってたけど、通信量が
増えるとそう言う事あるんだよねえ？

↓ワーム情報のhp

http://www.gojo-sakura.com/security/repo-s100.htm

http://www.act2.co.jp/download/
ここまだ「拡販中」だね。
http://www.act2.co.jp/x_act2main/x_DWNL/updater/RBI.html
はもう直したみたいだけど。

こっちも治したみたいだな。
http://www.act2.co.jp/x_act2main/x_NEWS/News/040321_BlackICE.html
担当者ここみてる？

FWｿﾌﾄとしては致命的。ぞぬのがいいのかな？

トレンドマイクロからメールが来た

◆WORM_WITTY.A（ウィティ）
危険度：低　　　
VAC：4 ※1
　パターンファイル：ネットワークウイルスパターン 10116　※2
＜メモリ上のみで動作するため、通常のパターンファイルではなく、
　ネットワークウイルスパターンで検出します。（弊社一部製品）＞
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_WITTY.A
**********************************************************************

＃ パッチを適用していないBlackICE PCプロテクションプロダクトを
　 ターゲットとします。
＃ 従来のウイルス対策ソフトでは防ぐことができないネットワークウイルス
　 ですが、トレンドマイクロのネットワークウイルス対応製品
　　　・ウイルスバスター2004 インターネット セキュリティ
　　　・Trend Micro Network VirusWall 1200
　 で対応できます。

暫定的に復旧完了。
スニファ−の設計者が作ったということで信用していたが
黒氷、終わったな…。

英語版黒氷は3/9にパッチが当たっていたのに
ここまで放置してるから、日本中のユーザの信頼を裏切ることになった。

今思うと、日本の総販売元が変わったのが致命的だったな。
お手軽翻訳してパッケージ変えて売るだけの実質的に
技術者不在の会社に変わってしまったからな。

さようなら、BlackIce!
もう使うことはないだろう。
ノートン+ルータにでもするか…w

つか、なんでサッサと本国最新版を入れないんだ？
アクト・ツーなんざ頼りにならんことはわかってるだろうが。

>>895
アクト・ツーからメールが来てすぐに対応したけど、既に感染してました。
日本版のIDを入れて本国版をダウンロードできるのでつか？
本国版ダウンロードサイトのURL(今回の緊急措置ではなくて)
さえ未だに知りません。

IDSの脆弱性を狙うワームとはまた皮肉な… snortのシグネチャも対象らしいが。
BlackICEは一般ユーザ向けな分、被害は大きいだろうな。

ユーザー少ない＝ウィルス、ワーム少ない
なんて考えていた俺がｳﾞｧｶでした。

餡ｲﾝｽｺ完了しますた。もう2度と使いません。ｻﾖｳﾅﾗこのｽﾚ。

ジャムおじさん。僕にもあん下さい。

＞896
http://blackice.iss.net/update_center/index.php
日本版のID、というかシリアルでOKです。

>>901様
ありがとうございました。
これからは、ルータのポート制限を最小限のものだけに
設定することにします。

メモリに何か書き込まれてるらしいけど、どうしたら再起動後のクラッシュ避けられる？
アンチウィルスソフトじゃ駆除できないらしいから。
対処法教えて下さい。

>>903
再起動したらおかしくなるのではなくて、おかしくなってるところで再起動するから
うまく起動しないだけ。つーかワームが動作してるならさっさとネットワークから
切り離して早くリブートしないと悪化するだけ。

セキュリティソフト「BlackICE」の脆弱性を狙ったウイルス「Witty.A」が拡大中
http://headlines.yahoo.co.jp/hl?a=20040322-00000014-imp-sci

ファイアウォールを攻撃しディスクを破壊するWittyワーム
http://slashdot.jp/security/04/03/21/2350232.shtml

セキュリティソフト「BlackICE」の脆弱性を狙ったウイルス「Witty.A」が拡大中
http://internet.watch.impress.co.jp/cda/news/2004/03/22/2501.html

まだ日本語版でないの？
ｻﾎﾟｰﾄ悪杉だね。遅くても次の日くらいには出せよ・・・
「セキュリティー」ｿﾌﾄだろ

>>906
というかもう日本語版ｲﾗﾈ
英語版入れて改めて気づいたけど
英語のわかんない漏れでも十分英語版でｲける
いまさら触る所も限られてるし・・・

>>901
英語版とこはDLするのにIDいらないのね
割れが（ｒｙ

>>907
DLは出来てもインスコにはシリアル要るよ。

>>907
日本語版の体験版をWinRAR等で解凍してSetup.exeを実行すれば、製品版としてインストール出来るし。
シリアルは、海外の割れサイトに行けばいくらでも拾えます。

http://www.keygen.us/get.shtml?1030060

>>910
通報しますた！通報しますた！通報しますた！
通報しますた！通報しますた！通報しますた！
通報しますた！通報しますた！通報しますた！
通報しますた！通報しますた！通報しますた！
通報しますた！通報しますた！通報しますた！

　　_, ._
（　ﾟ Дﾟ）

ここは不健全なインターネッツですね

よくわからんのはこれを食らった人はルータもＦＷも使ってないとゆこと？
あるいはルータやＦＷあるけどＩＭソフト使ってた人？
ルータやＦＷあってＩＭソフト使ってないのに食らった人っています？

>>914
そんな奴はいないだろ。というか普通ルーターでかましているのに
4000番なんてポートあけておくか？（IM使ってないならあけるわけ無い）

ノートPCでBlackICE入れてて、出先でつないだら・・・ってパターンなら
十分ありそうな話だな。

>>903
メモリをブチ抜いたらいいんじゃないか？

悪徒2からメール来ないんですが、特別優待パッケージ版
だからですかねぇ・・ユーザ登録してても無意味ですねｗ

通常時からsource port 4000/udpを明示的にふさいでるヤツって居るのか..
destはランダムだから、運が悪いと当たっちゃうと思う。
udpなサービスあけてる香具師は注意って事で。

それよか、IS700が壊れまくってる予感。
横河はガクブルだろうな。

act2からメールの返事が来たけど、
なんかテンプレをそのまま貼り付けただけっぽい
俺が聞きたかったことに個別に回答してくれてないし、
特に目新しい情報はないみたい。

http://www.isskk.co.jp/support/techinfo/general/Witty_167.html
BlackICE Witty ワーム


概要:
ISS X-Forceでは、3月18日にアナウンスされたICQ解析モジュールの脆弱性を利用した
ワームが拡散していることを確認しました。このワームは、パッチを適用していない下記製品
をターゲットとしています。このワームに感染した場合、Witty ワームはランダムIPアドレスに対して
感染を試みます。 Wittyワームは、20,000パケットを送信後、ハードディスクにジャンクデータを書き込み、
ディスクイニシャルセクタの破壊を引き起こします。

影響を受けるバージョン:
BlackICE Agent for Server 3.6 ebz, ecd, ece, ecf
BlackICE PC Protection 3.6 cbz, ccd, ccf
BlackICE Server Protection 3.6 cbz, ccd, ccf

http://www.isskk.co.jp/support/techinfo/general/Witty_167.html
BlackICE Witty ワーム


概要:
ISS X-Forceでは、3月18日にアナウンスされたICQ解析モジュールの脆弱性を利用した
ワームが拡散していることを確認しました。このワームは、パッチを適用していない下記製品
をターゲットとしています。このワームに感染した場合、Witty ワームはランダムIPアドレスに対して
感染を試みます。 Wittyワームは、20,000パケットを送信後、ハードディスクにジャンクデータを書き込み、
ディスクイニシャルセクタの破壊を引き起こします。

影響を受けるバージョン:
BlackICE Agent for Server 3.6 ebz, ecd, ece, ecf
BlackICE PC Protection 3.6 cbz, ccd, ccf
BlackICE Server Protection 3.6 cbz, ccd, ccf

http://www.isskk.co.jp/support/techinfo/general/Witty_167.html
BlackICE Witty ワーム


概要:
ISS X-Forceでは、3月18日にアナウンスされたICQ解析モジュールの脆弱性を利用した
ワームが拡散していることを確認しました。このワームは、パッチを適用していない下記製品
をターゲットとしています。このワームに感染した場合、Witty ワームはランダムIPアドレスに対して
感染を試みます。 Wittyワームは、20,000パケットを送信後、ハードディスクにジャンクデータを書き込み、
ディスクイニシャルセクタの破壊を引き起こします。

影響を受けるバージョン:
BlackICE Agent for Server 3.6 ebz, ecd, ece, ecf
BlackICE PC Protection 3.6 cbz, ccd, ccf
BlackICE Server Protection 3.6 cbz, ccd, ccf

ISDNなのに、食らった俺…
NIS2004と併用していたのにやられた…

連邦のニュースで初めて知ったよ　感染源はこれかよ・・・　
こういうセキュリティーのスレは普段みないので　全然気がつかなかった。
どうりでウィルスソフトに引っかからないはずだよ　この3日で再インスト３回　
再インストとしたドライブ以外の他のドライブ
スキャンディスクしたらファイルが壊れていくから怖くてwindows起動後の強制スキャンはパスしてる
今日にでも新しいHD買ってきて　そいつに移してからフォーマットするよ・・・
これでようやくすべてが終わりそうです。

そんぐらいで死ぬなよ

[不正アクセス] 侵入者は HP Remote Watch プログラムに接続しようとしています。

↑
このアタックって防ぎようが無いの？マジで困った

ルーターとゾヌ（無料版）で感染しなかった

Wittyワーム、急拡散後に威力衰え
http://www.itmedia.co.jp/news/articles/0403/23/news011.html

ISSの推計によれば、Wittyの影響を受けたのは同社顧客の約2％のみ。
メンテナンスサービスに加入している顧客はワームが出現する1週間前に
アップデートを受け取っていると、同社はWebサイトで記している。

(´･ω･`)

>>918
何かＦＷは入れてなかったの？

>919
俺の所に来た抗議に対するメールも同じ。もしかしたら文句言ってきた人に
全く同じ文面送っているだけかな？
せめてccgのリリース予定くらい教えろよ、act2。

930>>
FWは当然入ってるんですが、IDSはFWの外に置いておく事が多いから
それで影響受けちゃうのが多かったですよ。

3.6 cbdなら問題ないのかな？＜Witty

ccg使っても、>926と同じ症状が発生したよ。
一体どーなっとるんだ？
悪徒２は、もっとちゃんとアナウンスしる！

>>929
俺はその2％なのか…orz

一応σ（・・）かれこれ3年前からこのソフト入れてるけど、
このソフトのセキュリティーに関して質は高いのは知ってるけど、
前、DOSSアタック攻撃をまともに受けて、システムが破壊されてしまった。
FWソフトでDOSSアタック攻撃を防げないので、それ以後、Doss攻撃対応の
FW付きルーターを取り付けました。一応今回のワームウィルスの被害に
あってないみたい。新しいFW付きルーターが防いでいたみたいです。

>>923　NIS2004を併用しても、防げなかったなんて、NISも役立たずな
FWですねぇ！よかった。NIS買わなくて、昔私もNIS買ったけど、導入して
1ヵ月後ハッカーに破られました。　私が、買ったのnis2002だったけどねぇ！

■データ復旧について。2000やXP等のWinNT系

チェックディスクして下さい。
[マイコンピュータ]を開きチェックディスクを行うパーティションを右クリックして、
[プロパティ]を開きます。
[ツール]タブで[エラーチェック]項目にある[チェックする]を押します。
[チェックディスク]ウィンドウが開きますので[不良なセクタをスキャンし、回復する]に
チェックを入れて[開始]ボタンを押します。

チェックディスクが終わったパーティションを開きます。
[found.***]（***の部分は数字）と書いてあるフォルダができていれば
イニシャルセクタが破壊されたデータです。
中身のファイルをTeraPad等のテキストエディタかStirling等のバイナリエディタで開けば
先頭部分により元のファイルが分かります。
例えば先頭近くに[JFIF]と書かれていればJPEGの画像ファイルなので、
拡張子を「.jpg」に変更すれば元通りです。

先頭部分を見ても元のファイル拡張子が分からない場合は、
「極窓」
http://www.55555.to/
というソフトに読み込ませれば元のファイル名は復元させることは無理ですが、
拡張子を元に戻すことができます。

「ISSの推計によれば、Wittyの影響を受けたのは同社顧客の約2％のみ。」って言うけどさ、
普通の日本人ユーザーの被害は「Wittyの影響を受けなかったのは同社顧客の約2％のみ。」じゃねーのか？
act2氏ねよ、マジで。

>>937
ﾊｶｰに破られたとか言う香具師は大抵ポートｽｷｬﾝで騒ぐ厨である可能性が高い。
具体的に何されたの？

>>940
FWのセキュリティ勝手に解除＜=無効＞されてました。
有効にしてたのに・・・・・NIS2002の場合PORT80が
最初からオープンになってるんだよね！そこからハッカーに
侵入されて、裏側からセキュリティを解除されたんじゃ！
FWとして失格だと思う。
↑の場合ポートスキャンで騒いでないよ！ポートスキャンは侵入を
試みてるかまたは、セキュリティーに弱点ないか調べるためにスキャン
をかけるんだから・・・

>>941
> 有効にしてたのに・・・・・NIS2002の場合PORT80が
> 最初からオープンになってるんだよね！

なってねえよ・・・・

Symantec Norton Internet Securityに任意のコードが実行できる脆弱性
http://internet.watch.impress.co.jp/cda/news/2004/03/23/2522.html

もう、ルーターだけで生きていくのが正解のような気がする。

あのなぁ… ポートが空いている＝危険はtcp/ipを全く理解していない証拠だぞ。
当該ポートで listen しているアプリなりサーバなりが無ければ基本的にポートが空いていても
全く問題はない。
おまいは Apache でも入れてるのか？ もしそうならそれは Apache のセキュリティホールだ。

[緊急] BlackICE Witty ワーム 対策用 日本語版公開開始（2004.03.23）

BlaclICE シリーズ製品の ICQ解析モジュールの脆弱性を利用したワームが拡散していることを確認しました。
該当の脆弱性を解消する、正式日本語版アップデートバージョンを、本日公開いたしました。
既に英語版にて対策を頂いているユーザ様も、未だ日本語版をお使いのユーザ様も、最新版への速やかな移行をお願い致します。

http://www.act2.co.jp/x_act2main/x_DWNL/updater/RBI.html

>>944
中途半端な馬鹿は一番危険です。

>>945
英語版、アンインスコ出来ないんですが…
やる気あるのか、このメーカー？