ウイルス対策ソフトウェアはどの程度効果的ですか?
一方では、ほとんどのウイルス対策Webサイトが自社製品が非常に効果的であると主張しており、新しいマルウェアの95%以上の検出率を主張するウイルス対策「テスト」ビデオを見ています(すでに追加されている古いサンプルではなく、1日以内のものなど) AVデータベースへ)。さらに、ほぼすべてのOS保護ガイドは、マルウェア感染を防止するための一番の方法としてウイルス対策ソフトウェアを推奨しています。
一方、AVソフトウェアが役に立たないように見えるクリプターソフトウェアを宣伝する他のビデオを見たことがあります。これらの例の多くでは、「合計された」マルウェアは、virustotalなどのオンラインテストサイトで70以上のウイルス対策システムと対戦した場合でも、どのAVシステムでも検出されません。マルウェアを隠すのは非常に簡単であるという事実-完全に無料で、いくつかのフォーラムやウェブサイトから入手でき、最も単純なスクリプトキディでも使用できる数十のクリプターがあります-これらのクリプターは非常に効果的であるという事実、ウイルス対策ソフトウェアがあまり効果的でないことを示しているようです。
それでは、アバストやノートンなどのウイルス対策スイートはどれほど効果的であり、宣伝されている95%以上の検出率と、マルウェアを事実上検出不可能にする暗号化ソフトウェアの普及との違いをどのように説明できますか?
私は12年前にアンチウイルス業界で働いていたので、説明しようと思いますが、私の知識は少し古いかもしれません。
深刻なアンチウイルスベンダーにはそれぞれアンチウイルスラボがあり、その作業は次のように分かれています。
新しいウイルスを検出し、それらのソリューションを開発します:署名、ヒューリスティック検出の動作パターン、特殊な検出コード、場合によってはクリーニングコードなど。
新しいクリプターとアーカイブタイプを識別し、元のファイルを復号化するコードを開発する
これらの活動の両方には、一般大衆から隠されているいくつかのフォーラムやサイトへの潜入が含まれます。
ESET、Kaspersky、BitDefenderなどのより優れたウイルス対策ベンダーは、暗号化機能とアーカイブの数百(または今日ではさらに多く)を認識して処理するため、ユーザーの観点からは、ほとんどの暗号化機能は透過的で検出に影響しません割合。
ただし、クリプターをあまり認識しない、それほど深刻ではないウイルス対策ベンダーも市場に出ています。したがって、最大限のセキュリティが必要な場合は、通常、VB100賞を最近獲得したベンダーから製品を選択する必要があります。
ウイルス対策製品には、特定のファイルが悪意のあるものかどうかをチェックするためのさまざまな手法があります。
最も一般的な手法は、ウイルスデータベースに対してファイルの署名をチェックすることです。一致がある場合、ファイルは悪意があると見なされます。ウイルス対策製品は、ファイルの特性に応じて、ファイルを調べてその署名を作成します。スキャン中、アンチウイルスはこのシグネチャがウイルス定義データベースに存在するかどうかを確認します。存在する場合、ファイルは悪意があると見なされます。
次に、悪意のあるファイルを検討しますTemp.exe次に、このファイルがウイルス対策製品に対して悪意のあるものであることがすでにわかっていると想定すると、このファイルをスキャンすると、ウイルス対策によって悪意のあるファイルとして検出されます。ファイルの署名がアンチウイルスのウイルスデータベースと一致するためです。
ここで、ファイルTemp.exeを暗号化するとします。このファイルをウイルス対策製品でスキャンすると、この暗号化されたファイルのファイル署名は、暗号化されていないTemp.exe(悪意のあるファイル)のファイル署名と同じにならない場合があります。したがって、AntiVrusはこの暗号化されたファイルが悪意のあるものではないと考える可能性があります。
それでは、アバストやノートンなどのウイルス対策スイートはどれほど効果的であり、宣伝されている95%以上の検出率と、マルウェアを事実上検出不可能にする暗号化ソフトウェアの普及との違いをどのように説明できますか?
この事実はあなたの質問への答えになる可能性があります。
現在、ほとんどのウイルス対策製品は、署名ベースの手法に加えて、他の多くの手法を使用しています。 ここ は他のいくつかのテクニックのリストです。