ウイルス対策のための用語
アンチウイルスソフトのスキャン技術
パターンマッチング(Pattern Matching)
アンチウイルスソフトのシグニチャファイル(ウイルスの特徴を記録したファイル)の情報を元にファイルを調べて、ウイルスなのかをチェックする方法です。アンチウイルスソフトメーカーから提供されるウイルス定義ファイルを頻繁にダウンロードして更新しなければダメです。
新種ウイルスには効きません。でも誤検出の可能性が低くて、最も確かな方法みたいです。
[注意]
ウイルスなどのファイルの特徴は、シグニチャ(Signature)とよばれます。
そのシグニチャの特徴を記録した対策用ファイルをシグニチャファイル(Signature file)とよびます。
シグニチャファイルの名称は、ウイルス定義ファイル・DATファイル・パターンファイルなど、メーカーによって違いますから、注意してください。
Tef-Roomではいちばん判りやすい、ウイルス定義ファイルを中心に使って説明していきます。
ウイルスなどのファイルの特徴は、シグニチャ(Signature)とよばれます。
そのシグニチャの特徴を記録した対策用ファイルをシグニチャファイル(Signature file)とよびます。
シグニチャファイルの名称は、ウイルス定義ファイル・DATファイル・パターンファイルなど、メーカーによって違いますから、注意してください。
Tef-Roomではいちばん判りやすい、ウイルス定義ファイルを中心に使って説明していきます。
Integrity Check(整合性チェック)
ファイルの変更を監視するためのものです。ウイルスに感染したファイルは内容が改変されますと、そのファイルサイズサイズが変わっても変わらなくても、チェックサム(Check sum:MD5など)は変わります。
さらには電子署名(digital signature)をつけて、改変されているかを検出する技術です。
ヒューリスティックスキャン(Heuristics scan)
プログラムが持つコードを比較するパターンマッチングと違い、その動作を監視します。ヒューリスティックスキャンは実際にプログラムを実行しなくても、その動作を予測して悪意のあるプログラムかを調べる方法です。
プログラムの行動を予想して対応するため、新種ウイルスにも対応できることもあります。でも誤検出を起こすこともあります。
その動作を隠して潜むウイルスに対しては確実ではありません。そして何十回も圧縮した複雑な構造のファイルでは、ヒューリスティックスキャンがスキャンを途中で「あきらめて」しまうこともあるみたいです。
- スタティック(静的)・ヒューリスティックスキャン
- ファイルのコードを直接調べて、ウイルス特有のコードが含まれているのか調べます。
- ダイナミック(動的)・ヒューリスティックスキャン
- 仮想的な場所をメモリーに作成してその中でファイルを実行させ、どのような動作をするのか調べます、これはエミュレーション(Emulation)とよばれる技術です。
- この仮想的な場所(Emulator)の中で実際のパソコンの環境を再現して、プログラムの動きをチェックします。
- エムレーションはサンドボックスと呼ばれるような隔離された環境になりますから、その中でプログラムを実行してもパソコンには被害は出ません。
- NOD32ではアドバンスドヒューリスティックと呼ばれます。
ビヘイビアブロッキング(Behavior blocking)
ヒューリスティックスキャンと似ていますけど、このビヘイビアブロッキングは実行されているプログラムの動作を監視して、悪質なプログラムかを判断します。未知のプログラムやポリモーフィックウイルスでも検出できるかもしれません。
[よくわかならいこと]
ヒューリスティックスキャンとビヘイビアブロッキングは、それぞれ具体的に、どの製品にどのように実装されているのでしょう?説明書にはビヘイビアブロッキングの文字は書かれていません。
ヒューリスティックスキャンとビヘイビアブロッキングは、それぞれ具体的に、どの製品にどのように実装されているのでしょう?説明書にはビヘイビアブロッキングの文字は書かれていません。
アンチウイルスソフトのスキャン結果のための用語
[注意]
メーカーによって、用語が違います!このページの内容よりも、あなたが使っているアンチウイルスソフトの説明書のほうが内容が確かで間違いはない、はずです。
メーカーによって、用語が違います!このページの内容よりも、あなたが使っているアンチウイルスソフトの説明書のほうが内容が確かで間違いはない、はずです。
アンチウイルスソフトの誤検出・誤報告
アンチウイルスソフトの診断結果は、100%確実とは断言できません。False Positive
ウイルスではないファイル・プログラムを、ウイルスと検出してしまうこと。数日後にリリースされる新しいウイルス定義ファイルのパターンで、誤検出は修正されているかもしれません。
大事なファイルを削除してしまい、アプリケーションが正常に動作できなくなることもあります。 気になるようならいきなり削除しないで、検疫・隔離するかフロッピーディスクに保存する習慣をつけましょう。
False Negative
ウイルスファイルをスキャン時に見逃すこと。新種のウイルスは、アンチウイルスソフトメーカーの新しいウイルス定義ファイルがリリースされるまで検出できないこともあります。
駆除・修復
ファイルからウイルスのコードを取り除く作業を、駆除・修復とよびます。ファイルを丸ごと捨ててしまうことではありません。もし元々あったファイルにウイルスのコードを付け足されたファイルなら、駆除・修復で元のファイルを取り戻せるかもしれません。
でも元々あったファイルの一部を上書きするようなウイルスなら、駆除・修復をしても元のファイルにはなりません。
感染していると報告されたファイルが[修復]できずに困ったことはないですか?
ウイルスが新しく作成した[ウイルスそのもの、ウイルス100%]のファイルは、[修復]できません。このようなファイルは[削除]するしかないのです。
Norton AntiVirusでは修復、ウイルスバスターではウイルス駆除です。
検疫・隔離
[修復]できなかった感染ファイルは、まず誤検出対策のために検疫・隔離してみてはいかがでしょう?拡張子の変更や暗号化によって、ウイルス感染ファイルを活動できないような状態にしてしまいます。
Norton AntiVirusでは検疫、ウイルスバスターでは隔離です。
削除
検出されたファイルを丸ごと削除し、捨ててしまいます。削除してしまうともう、取り返しがつきません。少しでも検出結果への疑問を感じるなら、検疫・隔離して、しばらく日数が経ってウイルス定義ファイルを更新してからもう一度スキャンしてみましょう。
Norton AntiVirusでは削除、ウイルスバスターでも削除です。
除外
検出されたファイルを今後スキャン対象から外します。あまり使うことはない機能です。Norton AntiVirusでは除外です。ウイルスバスター2004ではスキャン結果では除外の選択はありませんでした。