web-dev-qa-db-ja.com

ウイルス対策フルスキャンを有効にする利点は何ですか?

AV自動スキャンがマルウェアを検出して実行を阻止する場合、なぜスケジュール/フルスキャンを有効にする必要があるのですか?

フルスキャンによってマシンとネットワークにオーバーヘッドが発生することがあるので、ファイルの使用時に自動スキャンによってAV保護が提供される場合にフルスキャンを有効にすることの利点を理解しようとしています。

用語:

Auto-Protect-Auto-Protectは、コンピューターをリアルタイムで保護することにより、脅威に対する防御の最前線です。ユーザーがファイルにアクセス、コピー、保存、移動、開いたり閉じたりするたびに、Auto-Protectはファイルをスキャンして、脅威が自動的に添付されていないことを確認します。デフォルトでは、コンピュータを起動したときにロードされ、脅威やセキュリティリスクから保護します。また、脅威やセキュリティリスクの存在を示す可能性のあるアクティビティがないかコンピューターを監視します。 Auto-Protectは、脅威によってファイルの拡張子が変更された場合でも、ファイルのタイプを判別できます。

フルスキャン-AからZで始まる各ファイルをリアルタイムではなくスキャンします。

malwareantivirusantimalware
3
Filipon

正しい答えはたくさんありますが、どれも明確で完全なものではありません。

次の理由により、スケジュールされた完全なマルウェア対策スキャンが必要です。

  • 一見無害な実行可能ファイルは、一見無害なファイルタイプのペイロードを隠す可能性があります
  • 感染時には、ウイルス対策の定義に必要な署名が含まれていない可能性があります。リアルタイムの保護により、ライブ感染が明らかになる可能性がありますが、休止状態の感染や第1段階のペイロード(マクロを含むドキュメントなど)は明らかになりません。
  • 一部のマルウェアは、バッファオーバーフローなどのアプリケーションの脆弱性を利用して、一見無害に見えるファイルタイプに隠れています。これは、たとえば、大きなビデオファイルの場合です。
  • アンチウイルスは、暗号化されたファイルや身代金要求などの感染の結果のみを検出できる場合があります
  • 実行されなかったマルウェアは、たとえばマルウェアが搭載されていない他のマシンに転送される場合など、依然として危険です。

フルスキャンはローカルで実行する必要があり、アイドル時間中にスケジュールするか、CPUリソースが少ないときに実行するため、オーバーヘッドが発生することはありません。

3
Enos D'Andrea

アンチウイルスソフトウェアが継続的に更新スキャンルール/パラメーターを使用して、ソフトウェアがより広いネットをキャストし、最新のマルウェアを検出できるようにすることは非常に一般的です。

通常、この更新は、スケジュールされたフルスキャンと連動します。完全スキャンが行われる前に、ソフトウェアは更新を確認してからスキャンを続行します。

「Auto-Protect」は基本的に、現在のn-updatedチェックリストでマルウェアを検出するだけです。したがって、フルスキャン+更新により、最新のマルウェアが確実に駆除されます。

2
mallocation

フルスキャンの説明から、それがより良い理由は、悪意のあるコンピューター上のファイルまたは実行可能ファイルがインターネットからダウンロードされたが、そのときに自動保護をバイパスした場合です。これは、ファイルのダウンロード時にウイルスの種類が不明だった場合に可能です(この種類のシナリオは「ゼロデー」シナリオと呼ばれます)。

ここで、フルスキャンの説明は、将来のセキュリティ定義またはウイルス対策プログラムへのパッチ更新により、ウイルス対策プログラムが新しいウイルスを検出できるようになった場合に機能します。もちろん、Auto-protectはウイルスを検出できるかもしれませんが、ウイルスが実行されている場合のみです。ウイルスが実行されておらず、休止状態にある場合、ウイルス対策プログラムがウイルスを検出する唯一の方法は、コンピュータ上のすべてのファイルを検索することです。

フルスキャンは通常、ウイルス対策ソフトウェアが更新されたときにデフォルトで行われますパッチ更新ではありません。 AVソフトウェアの更新は通常、ウイルス対策プログラムに欠陥があり、ウイルス定義があっても問題を修正するためのものです。ウイルスを適切に作成すると、その欠陥を利用できます。この状況ではフルスキャンも機能しませんが、アンチウイルスソフトウェアがそのようなシナリオの前または(少ない可能性)の場合、ウイルスが捕捉される可能性があります。後者は、AVプログラムがAVソフトウェアを更新した後に通常フルスキャンを実行する安全策として、より多くの理由です。また、レジストリとシステムモニタリングアクセスの問題以外に、ソフトウェアの更新後にAVソフトウェアがコンピューターの再起動を要求する理由にも関連しています。 AVがシステムのフルスキャンを実行しているため、通常はAVソフトウェアの更新後、再起動後の起動時間が通常よりも少し長いように見えます。多くのAVソフトウェアはデフォルトでこれを行います。これは、AVソフトウェア更新後の起動/再起動プロセス中にのみ発生します。

2
Amol Soneji

通常(そしておそらく個人的に)、実際の症状または疑わしいシステムアクティビティ/動作に気づかない限り、スケジュールやその他の方法でフルスキャンを実行しません。一方、これに同意しない人もいるでしょう-私は10〜15年前に彼らの中にいたでしょう-したがって、それが必要だと思われる場合は、毎月のフル/スケジュールスキャンをお勧めします。

ただし、すでに述べたように、ネットワークまたはシステムの残りのセキュリティ機能が適切に配置されて有効になっている(つまり、ルーター、ファイアウォール、最新の)場合、クイックスキャン(妥当な状況および/またはほとんどの場合)で十分です。日付ソフトウェアなど)。ご指摘のとおり、経験から明らかなように、フルシステムスキャンは、一部のハイエンドシステムでさえも衰弱させます。

myシステムがどれほど停止したかを見て正直に驚きました-20年ぶりの実際のハイエンドシステム-何らかの理由で、ソリッドステートドライブが非常に役立ちますそれは(確かにそうだと思います)しかし、それでも私は他の活動を停止に近づけます。

1
TrexxæByte

あなたの定義はその理由を説明しています:

...ファイルにアクセス、コピー、保存、移動、開く、または閉じるたびに...

そして、自分でファイルを作成するプロセスはどうですか?悪質ではないため、AVに拾われないPowershellスクリプトを記述できますが、悪意のあるファイルを書き込む可能性があります。ユーザー以外のプロセスでこれをトリガーできる場合は、そこにマルウェアが存在します。

また、AVは完璧ではありません。マルウェアを見つける機会が欲しいbeforeマルウェアが実行、オープン、またはその他の方法で相互作用します。

他のセキュリティ管理と同様に、コストとメリットを比較検討する必要があります。眠っているときなど、デバイスをアクティブに使用していないときにスキャンをスケジュールできる場合は、マシンとネットワークへのオーバーヘッドの影響を回避できます。これは、ほとんどの人がシステム全体のスキャンを有効にするときに行うことです。

1
schroeder