Behavior Analysis を使用することで、お使いのコンピューターを感染させる可能性のある信頼されていないサードパーティ製アプリケーションの動作(HOSTSファイルや重要なシステムレジストリキーの変更など)に対するDr.Webの対応を設定することができます。Behavior Analysis が有効になっている場合、システムオブジェクトの自動変更がOSに対する悪意のある試みであることやOSに悪影響を与えるものであることが明らかであればDr.Webはそれらの変更をブロックします。Behavior Analysisは、従来のシグネチャベースの検出やヒューリスティック分析による検出を回避可能な、未知の悪意のあるプログラムからシステムを保護します。アプリケーションが悪意のあるものであるかどうかを判断するために、コンポーネントはDr.Webクラウドサービスからのリアルタイムデータを使用します。
Behavior Analysis を有効/無効にするには
1.Dr.Web メニュー 
を開き、Security Center を選択します。
2.開いたウィンドウで、Preventive Protection タイルをクリックします。
3.スイッチ 
を使用して、Behavior Analysis コンポーネントを有効または無効にします。
図68. Behavior Analysis コンポーネントを有効/無効にする
このセクションでは以下の設定を行うことができます。
Behavior Analysisの設定
ほとんどの場合、デフォルト設定が最適です。必要がない限り変更しないでください。
Behavior Analysis 設定を開くには
1.Dr.Webが 管理モード で動作していることを確認してください(プログラムウィンドウ下部にあるロックが開いています 
)。管理モードではない場合は、ロックをクリックします 
。
2.Behavior Analysis タイルをクリックします。コンポーネントの設定ウィンドウが開きます。
図69. Behavior Analysisの設定
特定のオブジェクトやプロセスに対して個別の保護レベルを設定したり、すべてのプロセスに共通で適用される一般保護レベルを設定したりできます。一般保護レベルを設定するには、保護レベル タブのドロップダウンリストから選択します。
保護レベル |
説明 |
||
|---|---|---|---|
最適 (推奨) |
このモードはデフォルトで設定されています。オペレーティングシステムに害を及ぼそうとする悪意のある意図を持った、システムオブジェクトに対する自動変更を無効にします。オペレーティングシステムに害を与える悪意のある試みであることが明らかな場合、ディスクへの低レベルのアプリケーションアクセスもブロックし、HOSTSファイルを変更から保護します。
|
||
中 |
コンピューターが感染する危険性が高い場合は、このモードを選択して保護を強化できます。このモードでは、悪意のあるソフトウェアによって使用される可能性のある重要なオブジェクトへのアクセスがブロックされます。
|
||
パラノイド |
重要なWindowsオブジェクトへのアクセスを完全に制御する必要がある場合は、このモードを選択します。このモードでは、ドライバの読み込みとプログラムの自動実行をインタラクティブに制御することもできます。 |
||
ユーザー指定 |
このモードでは、さまざまなオブジェクトにカスタム保護レベルを設定できます。 |
ユーザーモード
すべての変更はユーザーモードで保存されます。このウィンドウでは、必要な設定を保存するための新しい保護レベルを作成することもできます。保護するオブジェクトは、すべてのコンポーネント設定で確認できます。
保護されたオブジェクトを変更しようとするアプリケーションの試みに対するDr.Webのアクションを1つ選択できます。
•許可 - 保護されたオブジェクトへのアクセスは、すべてのアプリケーションで許可されます。
•ユーザーに確認 - アプリケーションが保護されたオブジェクトを変更しようとすると、通知が表示されます。
図70. 保護されたオブジェクトへのアクセス要求に関する通知の例
•ブロック - アプリケーションが保護されたオブジェクトを変更しようとすると、アクセスはブロックされます。この場合、通知が表示されます。
図71. 保護されたオブジェクトへのアクセスがブロックされた場合の通知の例
新しい保護レベルを作成するには
1.デフォルト設定を確認し、必要に応じて編集してください。
2.
ボタンをクリックします。
3.開いたウィンドウ内で新しいプロファイルの名前を入力します。
4.OK をクリックします。
作成した保護レベルを削除するには
1.ドロップダウンメニューから、以前に作成された削除したいプロファイルを選択します。
2.
ボタンをクリックします。初期設定されているプロファイルは削除できません。
3.OK をクリックして削除を確定してください。
通知を受信する
必要に応じて、Behavior Analysisのアクションに関する、デスクトップとメールの通知を設定 できます。
以下も参照してください。
•通知
特定のアプリケーションに対するカスタムアクセスパラメータを追加するには、アプリケーションアクセス タブに移動します。このタブでは、新しいアプリケーションルールを追加したり、既存のアプリケーションルールを編集または削除したりできます。
図72. アプリケーションアクセス設定
テーブル内のオブジェクトを操作するには、次の管理要素を使用できます。
• ボタン - アプリケーションのルールセットを追加します。
•
ボタン - 既存のルールセットを編集します。
• ボタン - ルールセットを削除します。
(ルールタイプ)列には、3つのルールタイプが表示されます。
•
- すべての保護するオブジェクトに対して 全て許可 ルールが設定されています。
•
- 保護するオブジェクトには異なるルールが設定されています。
•
- すべての保護するオブジェクトに対して 全てブロック が設定されています。
アプリケーションルールを追加するには
1. をクリックします。
2.開いたウィンドウ内で 参照 をクリックし、アプリケーション実行ファイルへのパスを指定します。
図73. アプリケーションのルールセットを追加する
3.デフォルト設定を確認し、必要に応じて編集してください。
4.OK をクリックします。
保護するオブジェクト |
説明 |
|---|---|
実行中のアプリケーションの整合性 |
動作中のアプリケーションにコードを挿入するプロセスを検出します。このようなプロセスはコンピューターセキュリティを危険にさらす可能性があります。 |
HOSTSファイル |
OSはインターネットへの接続時にHOSTSファイルを使用します。このファイルに対する変更は、ウイルスに感染していることを示す場合があります。 |
ディスクへの低レベルアクセス |
アプリケーションによるディスク上への、ファイルシステムを避けたセクタ単位の書き込みをブロックします。 |
ドライバのロード |
アプリケーションによる、新しいまたは未知のドライバのロードをブロックします。 |
重要なWindowsオブジェクト |
以下のレジストリブランチに対する変更をブロックします (すべてのユーザープロファイルおよびシステムプロファイル内)。 イメージファイル実行オプション •Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options Windowsマルチメディアドライバ: •Software\Microsoft\Windows NT\CurrentVersion\Drivers32 •Software\Microsoft\Windows NT\CurrentVersion\Userinstallable.drivers Winlogonの値: •Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL Winlogonの通知: •Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Windowsシェルのオートラン: •Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib 実行ファイルの関連付け: •Software\Classes\.exe, .pif, .com, .bat, .cmd, .scr, .lnk (keys) •Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (keys) ソフトウェア制限ポリシー(SRP:Software Restriction Policies): •Software\Policies\Microsoft\Windows\Safer Internet Explorerのプラグイン (BHO): •Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects プログラムのオートラン: •Software\Microsoft\Windows\CurrentVersion\Run •Software\Microsoft\Windows\CurrentVersion\RunOnce •Software\Microsoft\Windows\CurrentVersion\RunOnceEx •Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup •Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup •Software\Microsoft\Windows\CurrentVersion\RunServices •Software\Microsoft\Windows\CurrentVersion\RunServicesOnce ポリシーオートラン: •Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run セーフモードの構成: •SYSTEM\ControlSetXXX\Control\SafeBoot\Minimal •SYSTEM\ControlSetXXX\Control\SafeBoot\Network セッションマネージャーのパラメータ •System\ControlSetXXX\Control\Session Manager\SubSystems, Windows システムサービス: •System\CurrentControlXXX\Services |
|
Microsoft社による重要な更新のインストール、またはプログラム(デフラグツールを含む)のインストールや動作に問題が発生した場合は、Behavior Analysis を一時的に無効にしてください。 |