検出手法

Doctor Webアンチウイルスソリューションは、悪意のあるソフトウェア検出に複数の手法を同時に使用します。それにより、感染が疑われるファイルに対する徹底的な検査を実行し、ソフトウェアの動作をコントロールすることができます。

シグネチャ解析

スキャンはまず、ファイルコードセグメントを既知のウイルス署名と比較するシグネチャ解析で始まります。シグネチャはウイルスを特定するために必要かつ十分な、連続するバイトの有限なシーケンスです。シグネチャ辞書のサイズを抑えるため、 Dr.Webアンチウイルスソリューションはシグネチャのシーケンス全体ではなくチェックサムを使用します。チェックサムはシグネチャを特定し、正確なウイルスの検出と駆除を確実なものにします。Dr.Webウイルスデータベースは、いくつかのエントリによって、特定のウイルスのみでなく脅威のクラス全体を検出できるよう設計されています。

Origins Tracing

シグネチャ解析の後、Dr.Webアンチウイルスソリューションは既知の感染メカニズムを用いる新種・亜種ウイルスを検出するため、ユニークなテクノロジーOrigins Tracingを使用します。それにより、Dr.WebユーザーはTrojan.Encoder.18（別名 gpcode）のような悪質な脅威から保護されます。新種・亜種ウイルスの検出を可能にするほか、Origins TracingはDr.Webヒューリスティックアナライザによる誤検出を劇的に減らします。Origins Tracingアルゴリズムを使用して検出されたオブジェクトの名前には .Origin 拡張子が付きます。

実行のエミュレーション

プログラムコード実行のエミュレーションは、署名のチェックサム解析が効果的ではない場合、または著しく困難な場合（サンプルから信頼できる署名を抽出できないため）に、ポリモーフィック型ウイルスや暗号化ウイルスを検出するために使用されます。この手法ではプロセッサおよびランタイム環境のプログラミングモデルである エミュレータ が、解析するサンプルコードの実行をエミュレートします。エミュレータは保護されたメモリ領域（エミュレーションバッファ）内で動作し、解析するアプリケーションの実行は命令ごとに順次行われます。ただし、これらの命令がCPUによって実際に実行されることはありません。ポリモーフィック型ウイルスに感染したファイルがエミュレータによって処理されると、ウイルスのボディが復号化され、署名のチェックサム解析によって簡単に識別されるようになります。

ヒューリスティック解析

ヒューリスティックアナライザを使用した検出手法は、ウイルスコードに典型的な、または非常にまれな特徴（属性）に関する特定の情報に基づいています（ヒューリスティック）。各属性は、その深刻度および信頼度を定義する重み係数を持っています。属性が悪意のあるコードであることを示している場合には重み係数がプラスになり、コンピューター 脅威の特徴を示していない場合はマイナスになります。ヒューリスティックアナライザはファイルの重み付け合計値に応じて、未知のウイルスに感染している可能性を計算します。それらの合計が一定の閾値を超えている場合、ヒューリスティックアナライザによって、オブジェクトは未知のウイルスに感染している可能性があると判定されます。

ヒューリスティックアナライザはファイル解凍の柔軟なアルゴリズムであるFLY-CODEテクノロジーも使用します。このテクノロジーは、 Dr.Webにとって既知のパッカーのみでなく、これまでに発見されていない未知のパッカーによって圧縮されたファイル内に悪意のあるオブジェクトが存在する可能性をヒューリスティックに検出します。Dr.Webアンチウイルスソリューションはパックされたオブジェクトのスキャン中に構造エントロピー解析も使用します。このテクノロジーはコードの配置を解析することで脅威を検出します。そのため、1つの検体から、同じポリモーフィックパッカ ーによってパックされた他の多くの脅威を検出することが可能になります。

不確実な状況で仮説を扱うあらゆるシステム同様、ヒューリスティックアナライザもまたタイプ I またはタイプ II のエラーを侵す可能性があります（ウイルスを見逃す、または誤検知）。そのため、ヒューリスティックアナライザによって検出されたオブジェクトは「疑わしい」オブジェクトとして定義されます。

マシンラーニング

マシンラーニングは、ウイルスデータベースに含まれていない悪意のあるオブジェクトを検出し、駆除するために使用されます。この手法の利点は、悪意のあるコードを実行することなくその機能のみによって判断し、検出することができるということです。

脅威の検出は、特定の機能による悪意のあるオブジェクトの分類に基づいています。サポートベクターマシン（SVM）は、分類に使用されるマシンラーニングテクノロジーの基礎となり、スクリプト言語で書かれたコード片をデータベースに追加します。検出されたオブジェクトは、悪質なコードの特徴を持っているかどうかに基づいて分析されます。マシンラーニングテクノロジーは、これらの機能やウイルスデータベースを自動的に更新するプロセスを作成します。クラウドサービスへの接続により、大量のデータがより速く処理され、システムの継続的なトレーニングにより、最新の脅威からの予防的保護が提供されます。このテクノロジーは、クラウドへの常時接続がなくても機能することができます。

マシンラーニング手法は、脅威を検出するためのコード実行を必要とせず、シグネチャ解析に使用されるウイルスデータベースの定期的な更新なしに分類子の動的マシンラーニングを実行できるため、オペレーティングシステムのリソースを大幅に節約します。

クラウドベースの脅威検出テクノロジー

クラウドベースの検出方法では、あらゆるオブジェクト（ファイル、アプリケーション、ブラウザ拡張機能など）をハッシュ値によってスキャンします。ハッシュは、特定の長さの数字と文字からなる一意のシーケンスです。ハッシュ値による分析では、オブジェクトは既存のデータベースを使用してスキャンされ、カテゴリー別に分類されます（クリーン、疑わしい、悪意のある、など）。

このテクノロジーにより、ファイルスキャンの時間を最適化し、デバイスリソースを節約することができます。分析されるのはオブジェクトではなく、その固有のハッシュ値であるため、オブジェクトが悪意のあるものであるかどうかの決定はほとんど瞬時に行われます。Dr.Webサーバーに接続されていない場合、ファイルはローカルでスキャンされ、接続が復元されるとクラウドスキャンが再開されます。

Doctor Webクラウドサービスは多くのユーザーから情報を収集し、これまで未知であった脅威に関するデータを迅速に更新します。これにより、デバイス保護の効果を高めます。