.NET 上からファイルのウィルス検出と駆除を行う - IOfficeAntiVirus ではなく IAttachmentExecute を使う

2011年 09月 17日

Windows OS に限定される話になるが、さて。

Windows にはウィルス対策ソフトとの橋渡しをする API がある?

最近の Windows OS には、インストールされているウィルス対策ソフトを使って、ファイルがコンピュータウィルスでないか・感染していないか、検出（スキャン）するための API が用意されていると聞いた。

※"コンピュータウィルス" という用語は、マルウェアやワームなどは含まないのが本来の意味であるのだろうが、本投稿ではそういったもの一切合切まとめて "ウィルス" と書いてしまってある。ご容赦頂きたい。

実際、Internet Explorer はもとより、Firefox も、インターネット上からファイルをダウンロードしてくると、ダウンロードマネージャ画面にて "スキャン中です" のメッセージとプログレスバーが一瞬表示される。

聞くところによれば、Firefox も、この Windows の API を使って、ウィルス検出を行っているとのこと。

その API というのが、IOfficeAntiVirus COM インターフェースなんだそうだ。

そう、COM インターフェースなのである。

なので、Windows OS の API と言ってしまうと不正確。

すなわち、いろいろなベンダーさんがリリースしていらっしゃるウィルス対策ソフトそれ自身が、IOfficeAntiVirus COM インターフェースを公開・実装しているわけである。

その上で、COM のカテゴリマネージャーから列挙・インスタンス生成できるよう、レジストリに登録しておくわけだ。

Microsoft としては橋渡しをする API を設けたのではなく、共通の規格と標準の手続きを設計・公開して、各ベンダーにそれにのってもらったというところだろう。

.NET から使いにくい & WSH からは使えない

しかし、上記のように COM として用意されている仕組みであり、.NET 上の言語からはなかなか呼び出しにくい。

そもそもある特定の CoClass をインスタンス化すればいいわけではない。

COM のカテゴリマネージャに問い合わせして、列挙してもらう必要がある。
そんな次第なのでタイプライブラリがあるわけでもなく、Visual Studio 上から参照設定とか、tlbimp.exe でインポート、とすることができない。

ツール類の助けを借りることなく、地道に IDL 宣言を C# 言語などに写経する必要があるのだ。

おまけに、.NET 上の言語ならまだしも、VBScript など IDispatch COM インターフェースを利用する、遅延バインディング系の処理系からだともうお手上げである。

IOfficeAntiVirus インターフェースを備える COM コンポーネント ― ウィルス対策ソフト ― が、同じウィルス検出機能を提供する IDispatch インターフェースを備えているとは限らないからだ。

いちおう、ファイルがコンピュータウィルスでないか・感染していないかを、VBScript など WSH 環境から検出するには、Shell API 経由で、ウィルス検出を行う "動詞 (Verb)" を指定して目的のファイルを "実行" する方法もあろう。

いわば、エクスプローラ上でのファイルの右クリックで現れるコンテキストメニューから、「Microsoft Security Essentials でスキャンします」項目を選ぶのと同じ動作だ。

しかしこれでは、呼び出し側にウィルス検出の結果が戻り値としては返らず、また、ユーザーインターフェースの動作が伴うため、バッチ処理には向かないという面がある。

そもそも、インストールされているウィルス対策ソフトの種類が違えば、ウィルス検出を行う "動詞 (Verb)" も異なってくるのではなかろうか。

.NET でラップする!

そこで、IOfficeAntiVirus インターフェースに立脚した、ファイルのウィルス検出を行う .NET クラスライブラリを作成することにした。

.NET のクラスライブラリであれば、C#、VB、F# などの .NET 系のプログラミング言語からの利用はもちろんのこと、Windows PowerShell からも利用できるようになる。

さらに RegAsm.exe コマンドを使ったレジストリへの登録を済ませれば、VBScript や JScript などの WSH 環境からも利用できるのだ。

正常動作しない!?

ということで早速 C# で実装を完了し、Microsoft Security Essentials がインストールされている Win7 Pro (x64) で動作検証してみた。

まずは普通のテキストファイルをスキャンしてみる。
ふむ、S_OK ( 正常 ) が返る。よしよし。

次に、実在しないパス名を与えてスキャン実行してみる。
E_FILE_NOT_FOUND が返るはずだが... あれれ? S_OK が返る。

最後に、テスト用のウィルス、eicar.com を用意して、これをスキャンしてみる。
S_FALSE ( 検出した ) が返るはずだが... またしても S_OK が返る...!

いったいどうなっているのか!?

釈然としないまま、さらに、ESET NOD32 Anti Virus 4 がインストールされている、 Win7 Pro (x86) でも動作確認してみる。

COM カテゴリマネージャーからは、どうやら NOD32 らしきコンポーネントが正しく列挙されてくる。
しかし、これをインスタンス化して IOfficeAntiVirus インターフェースを要求してみると、なんと "そんなインターフェースは実装していない" とエラーになるのだ。

スキャン以前の問題である。

もうわけがわかりません。

IOfficeAntiVirus インターフェースはもう古い?

そこで、冒頭に書いた、Firefox のことを思い出した。

自分の実装ではどうにも正常動作しない。
しかし Firefox はちゃんとウィルス検出をやっているではないか、と。

そこで、Firefox のソースコードを調べてみた。

なんと。

Firefox、というか、Mozilla のコードなのだが、ある世代まではたしかに IOfficeAntiVirus インターフェースにもとづくウィルス検出を行うコードになっている。

ところが、とある世代以降は、IOfficeAntiVirus インターフェースはもう使っていないのだ。

代わりに使われ始めたのは、IAttachmentExecute インターフェースを備えた AttachmentServices という CoClass である。

こいつは、インターネット上からダウンロードしてきたファイルなどを、最終的にファイルシステム上に保存したりするときに利用するらしいのだが、その "保存 (Save)" 処理の一環として、ウィルス検出も行ってくれるのだそうだ。

CodePlex で公開

ということで、それまでの実装はいったん捨てて、AttachmentService & IAttachmentExecute に基づく実装にいちから書き直して、.NET クラスライブラリとして完成させた。

CodePlex で公開してある。

Anti Virus Scanner for .NET (and COM)
http://antivirusscanner.codeplex.com/

いちおう、下記環境で eicar.com の検出と削除が行われることは、自分の手元で確認済みである。
・Win7Pro(x64) 上の Microsoft Security Essentials
・Win7Pro(x86) 上の ESET NOD32 Anti Virus 4

CD や DVD、SD カードや USB フラッシュメモリなどの外部メディアを、大量にスキャンしたいなどの作業の効率化には役立つかもしれない。

　

by developer-adjust | 2011-09-17 22:29 | .NET | Comments(1)

Commented by ワタナベ at 2013-07-07 11:39

ダウンロードさせていただきました。助かりました。ありがとうございます！