付録 B. 検出手法とアクション |
コンピューター脅威の検出および回避には多くの手法があります。Dr.Web 製品 はそれらの手法を組み合わせ、柔軟且つユーザーフレンドリーな設定、および確かなセキュリティを保証する包括的なアプローチによってコンピューターやネットワークに対する最も信頼性の高い保護を提供します。 検出手法 署名のチェックサムスキャン この手法は署名解析の一種で、署名とは、それぞれのコンピューター脅威が持つユニークな一連の有限バイトシーケンスです。ウイルスデータベースに存在する署名が、スキャンされたプログラムコード内で見つかった場合、検出へとつながります。 署名のチェックサムスキャンは、署名そのものではなく署名のチェックサムを比較します。それによりウイルスデータベースのサイズを大幅に減らし、従来の署名解析の信頼性を維持します。 実行のエミュレーション プログラムコード実行のエミュレーション手法は、署名のチェックサム解析が効果的ではない場合、または著しく困難な場合(サンプルから信頼できる署名を抽出できないため)に、ポリモーフィックや暗号化ウイルスを検出するために使用されます。CPUのソフトウェアモデルであるエミュレータが、解析されたサンプルコードの実行をエミュレートします。指令は保護されたメモリスペース(エミュレーションバッファ)内で実行され、CPUに渡されて実際に実行されることはありません。感染したファイルがエミュレータによって処理されると、ウイルスのボディが復号化され、署名のチェックサム解析によって簡単に定義されるようになります。 ヒューリスティック解析 ヒューリスティック解析は、ウイルスデータベースにそのバイト署名が追加されていない、新たに作成された未知の脅威を検出する為に使用され、コンピューター脅威に典型的な、または滅多に見られない特徴の重みの定義または計算に基づいて行われます。それらの特徴はその重み(特徴の重要さを定義する数値)およびサイン(ポジティブなサインはその特徴がコンピューター脅威に典型的なものであることを示し、ネガティブなサインは脅威とは関連の無い特徴であることを示します)を持っています。オブジェクトにおけるそれらの合計が特定の閾値を超えている場合、ヒューリスティックアナライザによって脅威である可能性があると判定され、疑わしいオブジェクトと定義されます。 その他の仮説に基づいた検査システム同様、ヒューリスティック解析には誤検出(タイプIエラー)および見逃し(タイプIIエラー)の可能性があります。 Origins Tracing™ Origins Tracing™ は Dr.Web によって開発され Dr.Web 製品 のみで使用されている、ユニークな非署名脅威検出アルゴリズムです。従来の署名ベースのスキャンおよびヒューリスティック解析と合わせて、未知の脅威の検出率を大幅に向上させます。Origins Tracing アルゴリズムを使用して検出されたオブジェクトの名前には.Origin拡張子が付きます。 コンピューター脅威を回避する為に、Dr.Web 製品 は悪意のあるオブジェクトに対して様々なアクションを適用します。ユーザーはデフォルト設定を使用、自動的に適用するアクションを設定、または検出の度に手動でアクションを選択することが出来ます。使用可能なアクションは以下のとおりです。
|