検出手法

Doctor Web アンチウイルスソリューションは、悪意のあるソフトウェア検出に複数の手法を同時に使用します。それにより、感染が疑われるファイルに対する徹底的な検査を実行し、ソフトウェアの動作をコントロールすることができます。

シグネチャ解析

スキャンはまず、ファイルコードセグメントを既知のウイルス署名と比較するシグネチャ解析で始まります。シグネチャはウイルスを特定する為に必要かつ十分な、連続するバイトの有限なシーケンスです。シグネチャ辞書のサイズを抑える為、 Dr.Web アンチウイルスソリューションはシグネチャのシーケンス全体ではなくチェックサムを使用します。チェックサムはシグネチャを特定し、ウイルス検出および駆除の正確さを維持します。Dr.Web ウイルスデータベース は、いくつかのエントリによって、特定のウイルスのみでなく脅威のクラス全体を検出できるよう設計されています。

Origins Tracing

シグネチャ解析の完了後、Dr.Web アンチウイルスソリューションは既知の感染メカニズムを用いる新種・亜種ウイルスを検出するため、ユニークなテクノロジー Origins Tracing を使用します。それにより、Dr.Web ユーザーは Trojan.Encoder.18（別名 gpcode）のような悪質な脅威から保護されます。新種・亜種ウイルスの検出を可能にするほか、Origins Tracing はDr.Web ヒューリスティックアナライザによる誤検出を劇的に減らします。Origins Tracing アルゴリズムを使用して検出されたオブジェクトの名前には.Origin拡張子が付きます。

実行のエミュレーション

プログラムコード実行のエミュレーション手法は、署名のチェックサム解析が効果的ではない場合、または著しく困難な場合（サンプルから信頼できる署名を抽出できないため）に、ポリモーフィック型ウイルスや暗号化ウイルスを検出するために使用されます。プロセッサおよびランタイム環境のプログラミングモデルである エミュレータ が、解析するサンプルコードの実行をエミュレートします。エミュレータは保護されたメモリスペース（エミュレーションバッファ）内で動作し、解析するプログラムの実行は命令ごとに順次行われます。ただし、これらの命令がCPUによって実際に実行されることはありません。ポリモーフィック型ウイルスに感染したファイルがエミュレータによって処理されると、ウイルスのボディが復号化され、署名のチェックサム解析によって簡単に識別されるようになります。

ヒューリスティック解析

ヒューリスティックアナライザの検出手法は、ウイルスコードに典型的な、または非常にまれな特徴（属性）に関する特定の情報に基づいています（ヒューリスティック）。各属性は、その深刻度および信頼度を定義する重み係数を持っています。属性が悪意のあるコードであることを示している場合には重み係数がプラスになり、コンピューター脅威の特徴を示していない場合はマイナスになります。ヒューリスティックアナライザはファイルの重み付け合計値に応じて、未知のウイルスに感染している可能性を計算します。それらの合計が一定の閾値を超えている場合、ヒューリスティックアナライザによって、オブジェクトは未知のウイルスに感染している可能性があると判定されます。

ヒューリスティックアナライザはファイル解凍の柔軟なアルゴリズムである FLY-CODE テクノロジーも使用します。このテクノロジーは、 Dr.Web にとって既知のパッカーのみでなく、これまでに発見されていない未知のパッカーによって圧縮されたファイル内に悪意のあるオブジェクトが存在する可能性をヒューリスティックに検出します。Dr.Web アンチウイルスソリューションはパックされたオブジェクトのスキャン中に構造エントロピー解析も使用します。このテクノロジーはコードの配置を解析することで脅威を検出します。そのため、1つの検体から、同じポリモーフィックパッカーによってパックされた他の多くの脅威を検出することが可能になります。

不確実な状況で仮説を扱うあらゆるシステム同様、ヒューリスティックアナライザもまたタイプ I またはタイプ II のエラーを侵す可能性があります（ウイルスを見逃す、または誤検知）。そのため、ヒューリスティックアナライザによって検出されたオブジェクトは「疑わしい」オブジェクトとして定義されます。

動作解析

動作解析では、システム内のすべてのプロセスアクションのシーケンスを分析します。悪意のある動作が検出されると、そのプログラムのアクションはブロックされます。

Dr.Web Process Heuristic

動作解析テクノロジーであるDr.Web Process Heuristicにより、従来のシグネチャベースの解析やヒューリスティック解析をくぐり抜ける危険な新しい悪意のあるプログラムからシステムを保護します。

Dr.Web Process Heuristicは動作中のプログラムの動作をリアルタイムで解析します。常時更新されていくDr.Web Cloudサービスと悪意のある動作に関する情報を使用して、プログラムが危険であるかどうかを判断し、脅威を駆除するために必要な処置を行います。

このデータ保護テクノロジーによって、未知のマルウェアによる損害を最小限に抑えることができます。また、システムリソースの消費は非常に少なくなっています。

Dr.Web Process Heuristicはシステムを改変しようとするあらゆる試みをモニタリングします。

•ネットワーク経由でアクセス可能なフォルダ内のファイルを含む、ユーザーのファイルを改変する悪意のあるプロセスを検出（暗号化ランサムウェアの動作など）

•他のアプリケーションのプロセス内にマルウェアが自身のコードを挿入することを防ぐ

•マルウェアによる改変からクリティカルなシステム領域を保護

•悪意のある、疑わしい、または信頼できないスクリプトやプロセスの実行を検出し、停止させる

•マルウェアによるブートセクターの改変を防ぎ、悪意のあるコードがコンピューター上で実行されないようにする

•Windowsレジストリ内の変更をブロックし、セーフモードが無効にならないようにする

•マルウェアによる起動許可の変更を防ぐ

•ユーザーの許可なしに、新たなまたは未知のドライバがダウンロードされることを防ぐ

•マルウェアや、アンチアンチウイルスなどのアプリケーションがWindowsレジストリ内に登録されることを防ぎ、自動実行されないようにする

•仮想デバイスドライバに関する情報を含んだレジストリセクションをロックし、新しい仮想デバイスが作成されないようにする

•マルウェアによるシステムルーチン（スケジュールによるバックアップなど）の妨害を防ぐ

Dr.Web Process Dumper

Dr.Web Process Dumperは、パックされた脅威の包括的な分析により、新しいパッカーによって隠される前にDr.Webウイルスデータベースに追加された、「新しい」とされる悪意のあるプログラムの検出を大幅に向上させます。また、このタイプの分析では、ウイルスデータベースに新しいエントリを追加し続ける必要がなくなります。Dr.Webウイルスデータベースを小さく維持することで、システム要件を絶えず増やす必要がありません。更新サイズは従来どおり小さく、一方で検出ならびに修復の品質は高レベルに保たれます。

Dr.Web ShellGuard

Dr.Web ShellGuardはお使いのデバイスをエクスプロイトから保護します。エクスプロイト はソフトウェアの脆弱性を悪用する悪意のあるオブジェクトです。これらの脆弱性は、標的となるアプリケーションやOSのコントロールを獲得するために悪用されます。

Dr.Web ShellGuardは、ほぼすべてのWindows搭載コンピューター上にインストールされる一般的なアプリケーションを保護します。

•一般的なWebブラウザ（Internet Explorer、Mozilla Firefox、Google Chrome、Vivaldi Browserなど）

•MS Office 2016を含むMS Officeアプリケーション

•システムアプリケーション

•Java、Flash、PDFを使用するアプリケーション

•メディアプレイヤー（ソフトウェア）

Dr.Web ShellGuard は悪意のある動作を検出するために、ローカルで保存されていく情報のほか、Dr.Web Cloudサービスの以下のデータも使用します。

•悪意のあるプログラムのアルゴリズムに関する情報

•既知のクリーンなファイルに関する情報

•よく知られたソフトウェアデベロッパーの悪用されたデジタル署名に関する情報

•アドウェアおよびリスクウェアによって使用されるデジタル署名に関する情報

•特定のアプリケーションによって使用される保護アルゴリズム

マシンラーニング

マシンラーニングは、ウイルスデータベースに含まれていない悪意のあるオブジェクトを検出し、駆除するために使用されます。この手法の利点は、悪意のあるコードを実行することなくその機能のみによって判断し、検出することができるということです。

脅威の検出は、特定の機能による悪意のあるオブジェクトの分類に基づいています。サポートベクターマシン（SVM）は、分類に使用されるマシンラーニングテクノロジーの基礎となり、スクリプト言語で書かれたコード片をデータベースに追加します。検出されたオブジェクトは、悪質なコードの特徴を持っているかどうかに基づいて分析されます。マシンラーニングテクノロジーは、これらの機能やウイルスデータベースを自動的に更新するプロセスを作成します。クラウドサービスへの接続により、大量のデータがより速く処理され、システムの継続的なトレーニングにより、最新の脅威からの予防的保護が提供されます。このテクノロジーは、クラウドへの常時接続がなくても機能することができます。

マシンラーニング手法は、脅威を検出するためのコード実行を必要とせず、シグネチャ解析に使用されるウイルスデータベースの定期的な更新なしに分類子の動的マシンラーニングを実行できるため、オペレーティングシステムのリソースを大幅に節約します。

クラウドベースの脅威検出テクノロジー

クラウドベースの検出方法により、あらゆるオブジェクト（ファイル、アプリケーション、ブラウザ拡張機能など）をそのハッシュ値でスキャンすることができます。ハッシュは、特定の長さの数字と文字のユニークなシーケンスです。ハッシュ値で分析されると、オブジェクトは既存のデータベースを使用してスキャンされ、カテゴリーに分類されます（クリーン、疑わしい、悪意のあるものなど）。

このテクノロジーは、ファイルスキャンの時間を最適化し、デバイスリソースを節約します。分析されるのはオブジェクトではなく一意のハッシュ値であるため、オブジェクトが悪意のあるものかどうかの判断はほとんど即座に行われます。Dr.Webサーバーへの接続がない場合、ファイルはローカルでスキャンされ、接続が復元されるとクラウドスキャンが再開されます。

Doctor Webクラウドサービスは、多数のユーザーから情報を収集し、これまで未知であった脅威に関するデータを迅速に更新して、デバイス保護の有効性を高めます。