|
付録 C. 検出手法 |
トップ 前 |
|
Dr.Web anti-virus solutions は、悪意のあるソフトウェア検出に複数の手法を同時に使用します。それにより、感染が疑われるファイルに対する徹底的な検査を実行し、ソフトウェアの動作をコントロールすることが出来ます。 1.検査はまず、ファイルコードセグメントを既知のウイルスシグネチャと比較するシグネチャ分析で始まります。シグネチャはウイルスを特定する為に必要かつ十分な、連続するバイトの有限なシーケンスです。シグネチャ辞書のサイズを削減する為、Dr.Web anti-virus solutions はシグネチャのシーケンス全体ではなくシグネチャのチェックサムを使用します。チェックサムは独特な方法でシグネチャを特定し、ウイルス検出および駆除の正確さを維持します。Dr.Web ウイルスデータベース は、いくつかのエントリーによって特定のウイルスのみでなく、その脅威のクラス全体を検出できるように構成されています。 2.シグネチャ分析が完了すると、Dr.Web anti-virus solutions は既知の感染メカニズムを使用する新しいウイルス、またはウイルスの亜種を検出する為にユニークな Origins Tracing™ テクノロジーを使用します。それにより、Dr.Web ユーザーは悪名高いblackmailer Trojan.Encoder.18(gpcode)などのようなウイルスから守られます。新しいウイルスやウイルスの亜種の検出に加え、Origins Tracing は Dr.Web ヒューリスティックアナライザーによる誤まったトリガの数を劇的に減らすことが出来ます。 3.ヒューリスティックアナライザーが使用する検出手法は、悪意のあるコードを特徴づける属性に関する情報に基づいています。各属性または特徴は、その重要度および信頼度を定義する重み係数を持っています。ヒューリスティックアナライザーはファイルの重み付け合計値に応じて、未知のウイルスに感染している可能性を計算します。不確実な状況で仮説を扱うあらゆるシステム同様、ヒューリスティックアナライザーもまたタイプ I またはタイプ II のエラーを侵す可能性があります(ウイルスを見逃す、または誤検知)。 上記いずれの検査を実行する際にも Dr.Web anti-virus solutions は既知の悪意のあるソフトウェアに関する最も新しい情報を使用します。Dr.Web ウイルスラボ のエキスパートによる新しい脅威の発見後、ウイルスシグネチャ、動作の特徴および属性の更新が即座に実行されます。1時間に数回更新が行われる場合もあります。そのため、たとえ新しいウイルスが Dr.Web resident guard を通過しシステムに侵入してしまった場合でも、更新後に検出され駆除されます。
|