Behavior Analysis を使用することで、お使いのコンピューターを感染させる可能性のある信頼されていないサードパーティ製アプリケーションの動作(HOSTSファイルや重要なシステムレジストリキーの変更など)に対するDr.Webの対応を設定することができます。Behavior Analysis が有効になっている場合、システムオブジェクトの自動変更がOSに対する悪意のある試みであることやOSに悪影響を与えるものであることが明らかであれば、Dr.Webはそれらの変更をブロックします。Behavior Analysis は、従来のシグネチャベースの検出やヒューリスティック分析による検出を回避することが可能な、未知の悪意のあるプログラムからシステムを保護します。アプリケーションが悪意のあるものであるかどうかを判断するために、このコンポーネントはDr.Webクラウドサービスからのリアルタイムデータを使用します。
Behavior Analysis を有効/無効にするには
1.Dr.Web メニュー 
を開き、Security Center を選択します。
2.開いたウィンドウで、Preventive Protection タイルをクリックします。
3.スイッチ 
を使用して、Behavior Analysis コンポーネントを有効または無効にします。
図 68. Behavior Analysis コンポーネントを有効/無効にする
このセクションでは以下の設定を行うことができます。
Behavior Analysisの設定
ほとんどの場合、デフォルト設定が最適です。必要がない限り変更しないでください。
Behavior Analysis 設定を開くには
1.Dr.Webが 管理者モード で動作していることを確認してください(プログラムウィンドウ下部にあるロックが開いています 
)。管理者モードではない場合は、ロックをクリックします 
。
2.Behavior Analysis タイルをクリックします。コンポーネントの設定ウィンドウが開きます。
図 69. Behavior Analysisの設定
特定のオブジェクトやプロセスに対して個別の保護レベルを設定したり、すべてのプロセスに共通で適用される一般保護レベルを設定したりできます。一般保護レベルを設定するには、保護レベル タブのドロップダウンリストから選択します。
保護レベル |
説明 |
||
|---|---|---|---|
最適 (推奨) |
このモードはデフォルトで設定されています。オペレーティングシステムに害を及ぼそうとする悪意のある意図を持ったシステムオブジェクトに対して、自動変更を無効にします。オペレーティングシステムに害を与える悪意のある試みであることが明らかな場合、ディスクへの低レベルのアプリケーションアクセスもブロックし、HOSTSファイルを変更から保護します。
|
||
中 |
コンピューターが感染する危険性が高い場合は、このモードを選択して保護を強化できます。このモードでは、悪意のあるソフトウェアによって使用される可能性のある重要なオブジェクトへのアクセスがブロックされます。
|
||
パラノイド |
重要なWindowsオブジェクトへのアクセスを完全に制御する必要がある場合は、このモードを選択します。このモードでは、ドライバの読み込みとプログラムの自動実行をインタラクティブに制御することもできます。 |
||
ユーザー指定 |
このモードでは、さまざまなオブジェクトにカスタム保護レベルを設定できます。 |
ユーザーモード
すべての変更はユーザーモードで保存されます。このウィンドウでは、必要な設定を保存するための新しい保護レベルを作成することもできます。保護するオブジェクトは、すべてのコンポーネント設定で確認できます。
保護されたオブジェクトを変更しようとするアプリケーションの試みに対するDr.Webのアクションを1つ選択できます。
•許可 - すべてのアプリケーションに対し、保護されたオブジェクトへのアクセスが許可されます。
•ユーザーに確認 - アプリケーションが保護されたオブジェクトを変更しようとすると、通知が表示されます。
図 70. 保護されたオブジェクトへのアクセス要求に関する通知の例
•ブロック - アプリケーションが保護されたオブジェクトを変更しようとすると、アクセスはブロックされます。この場合、通知が表示されます。
図 71. 保護されたオブジェクトへのアクセスがブロックされた場合の通知の例
新しい保護レベルを作成するには
1.デフォルト設定を確認し、必要に応じて編集してください。
2.
ボタンをクリックします。
3.開いたウィンドウ内で新しいプロファイルの名前を入力します。
4.OK をクリックします。
作成した保護レベルを削除するには
1.ドロップダウンメニューから、以前に作成された削除したいプロファイルを選択します。
2.
ボタンをクリックします。初期設定されているプロファイルは削除できません。
3.OK をクリックして削除を確定します。
通知を受信する
必要に応じて、Behavior Analysis のアクションに関する、デスクトップとメールの通知を設定 できます。
以下も参照してください:
•通知
特定のアプリケーションに対するカスタムのアクセス設定を追加するには、アプリケーションアクセス タブに移動します。このタブでは、新しいアプリケーションルールを追加したり、既存のアプリケーションルールを編集または削除したりできます。
図 72. アプリケーションアクセス設定
テーブル内のオブジェクトを操作するには、次の管理要素を使用できます。
• ボタン - アプリケーションのルールセットを追加します。
•
ボタン - 既存のルールセットを編集します。
• ボタン - ルールセットを削除します。
(ルールタイプ)列には、3つのルールタイプが表示されます。
•
- すべての保護するオブジェクトに対して 全て許可 ルールが設定されています。
•
- 保護するオブジェクトごとに異なるルールが設定されています。
•
- すべての保護するオブジェクトに対して 全てブロック ルールが設定されています。
アプリケーションルールを追加するには
1. をクリックします。
2.開いたウィンドウ内で 参照 をクリックし、アプリケーション実行ファイルへのパスを指定します。
図 73. アプリケーションのルールセットを追加する
3.デフォルト設定を確認し、必要に応じて編集してください。
4.OK をクリックします。
保護するオブジェクト |
説明 |
|---|---|
実行中のアプリケーションの整合性 |
動作中のアプリケーションにコードを挿入するプロセスを検出します。このようなプロセスはコンピューターセキュリティを危険にさらす可能性があります。 |
HOSTSファイル |
OSはインターネットへの接続時にHOSTSファイルを使用します。このファイルに対する変更は、ウイルスに感染していることを示す場合があります。 |
ディスクへの低レベルアクセス |
アプリケーションによるディスク上への、ファイルシステムを避けたセクタ単位の書き込みをブロックします。 |
ドライバのロード |
アプリケーションによる、新しいまたは未知のドライバのロードをブロックします。 |
以下のレジストリブランチに対する変更をブロックします (すべてのユーザープロファイルおよびシステムプロファイル内)。
保護するオブジェクト |
説明 |
|---|---|
イメージファイル実行オプション |
•Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options |
Windowsマルチメディアドライバ |
•Software\Microsoft\Windows NT\CurrentVersion\Drivers32 •Software\Microsoft\Windows NT\CurrentVersion\Userinstallable.drivers |
Winlogonパラメータ |
•Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL |
Winlogon通知機能 |
•Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Windowsシェルの自動実行 |
•Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib |
実行ファイルの関連付け |
•Software\Classes\.exe, .pif, .com, .bat, .cmd, .scr, .lnk (keys) •Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (keys) |
ソフトウェア制限ポリシー(SRP) |
•Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\*\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers •Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\*\Software\Policies\Microsoft\Windows\SrpV2 •Software\Policies\Microsoft\Windows\Safer •Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers •Software\Policies\Microsoft\Windows\SrpV2 |
Internet Explorerのプラグイン(BHO) |
•Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
プログラムの自動実行 |
•Software\Microsoft\Windows\CurrentVersion\Run •Software\Microsoft\Windows\CurrentVersion\RunOnce •Software\Microsoft\Windows\CurrentVersion\RunOnceEx •Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup •Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup •Software\Microsoft\Windows\CurrentVersion\RunServices •Software\Microsoft\Windows\CurrentVersion\RunServicesOnce |
ポリシーの自動実行 |
•Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run |
セーフモードの設定 |
•SYSTEM\ControlSetXXX\Control\SafeBoot\Minimal •SYSTEM\ControlSetXXX\Control\SafeBoot\Network |
Session Manager(セッションマネージャー)のパラメータ |
•System\ControlSetXXX\Control\Session Manager\SubSystems, Windows |
システムサービス |
•System\CurrentControlXXX\Services |
|
Microsoft社による重要な更新のインストール、またはプログラム(デフラグツールを含む)のインストールや動作に問題が発生した場合は、Behavior Analysis を一時的に無効にしてください。 |