mv コマンドの実行時にリアルタイムスキャンは実施されますか?

質問

mv コマンドの実行時にリアルタイムスキャンが動作している時と、動作していない時があるようです。

回答

mv コマンドの実行時には以下の2つの動作が御座います。

 

1 Source と Destination が同一ファイルシステム内の場合 (i-node が変わらない場合)

  → rename() システムコールを使用しますので eicar ファイル等を別のディレクトリの
    移動時にリアルタイムスキャンはかかりません。

    リアルタイムスキャンは、システムコールが「open」、「close」、「execve」などの際に

    かかりますが、mv はファイルを open したり、 close したりしない為、mv コマンドで

             ファイルを移動する時は、リアルタイムスキャンの処理が行われません。

 

    また、cp や cat コマンドの場合はファイルを open しますので、リアルタイムスキャンは

             行われます。

    

    但し、mv コマンドがファイルを開くのではなく、デスクトップマネージャやウィンドウ

              マネージャがファイルを触っている時、それらにファイルを mv する際にはリアル

              タイムスキャンがかかります。
    (# mv /opt/f-secure/eicar.com /root/Desktop 時など)

 

2 Source と Destination が同一ファイルシステム内でない場合 (i-node が変わる場合)
  → Source および Destination 上のファイルシステム上でファイルを open する必要がある

             ので、この時点でリアルタイムスキャンが実施されます。

 

※ 同一のファイルシステムかどうかは、df コマンドで確認できます。

Sign In or Register to comment.