新しいウィルスのアンチウィルスソフトのウィルス判断。

新しいウィルスのアンチウィルスソフトのウィルスの判断手段、方法、発見ポイントってどこにあるのでしょうか？
既存に被害があった物に関しては、アンチウィルスソフトのデーターベース更新の時に、追加されて、それをポイントに発見しているのだと思います。
ダウンロード時や実行する時とかに。

同じような仕組みでも、プログラマによっては、そのプログラムの書き方が違ってくると思います。
どこまで、どこをポイントに検索しているのでしょうか？
たまに、「アンチウィルスソフトで、誤検出されています。」ってフリーソフトも見かけます。

バイナリーまで見てるのかな？
デコンパイルしないと無理だから、そう言うのは無理なのかな？
それとも決まったＷｉｎ３２　ＡＰＩに当たりをつけるのかな？

例えば、私が、全く新しく、jpg画像を探して、消去するウィルスを作った場合は、検出されるのでしょうか？

No.2 ベストアンサー 回答者： masapiyochan 回答日時： 2008/03/07 09:32

ANO.1の者です。

ヒューリスティックについての解説です。
http://www.hotfix.jp/archives/word/2004/word04-2 …

これによると、
システム領域やDLLの書き換えなど、通常のプログラムが実行しないようなウイルス特有の挙動を検知する
とのことですから、そういうところを、一時的にでも、操作するようなソフトウェアなら、
警告されることもあるのでしょうね。

下記URLは、ウイルスの種類/仕組みについての解説です
http://www.atmarkit.co.jp/fsecurity/rensai/anti_ …

この回答へのお礼

なるほど、元のファイルを消しまくるのは、まぁ、普通のソフトであり得る挙動とされる訳かー。
まぁ、そうですが。
ＩＥなんんて、キャッシュで作っては消してだしなー。
追加書き込み、ありがとうございます。

お礼日時：2008/03/07 12:13

No.1 回答者： masapiyochan 回答日時： 2008/03/07 09:26

ヒューリスティックスキャンだと、簡単なところでは、

ウイルス対策ソフト上で、試験的な領域を作り、
その領域の中で、プログラムを動作させてみて、
その動作を監視して、例えば、レジストリをいじろうとするとか、
ファイルを削除しまくろうとするとかだったら、
実際には動作しないように隔離するとか。

>私が、全く新しく、jpg画像を探して、
>消去するウィルスを作った場合は、検出されるのでしょうか？
ウイルス対策ソフトによると思いますが、
コードによっては、怪しいプログラムとして、検知されるかもしれませんね。
ただし、全てを検知するのは不可能だと思います。

でも、私は、ファイル暗号化ソフトを開発していて、
それは、暗号化するとき、元ファイルを削除しまくりますが、
特に何も検知されたことはないです。(Kaspersky、Norton、Avastともに)

この回答へのお礼

ということは、システムに食い込んでいるレジストリを、削除しようとしない限り、アンチウィルスソフトに引っかかる可能性が低いって事かな。
私も、キーボードを記録し、画面をキャプチャーするソフトを作ったのですが、アンチトロイ系のソフトには引っかかりませんでした。(あくまで、自分のチャット用。＾＾；
キーボードを途中でフックするという、かなり怪しいソフトなんですが。
はやり対処療法のようですね。
やば、ちょっといろいろとやってみたくなりました。（苦笑
ありがとうございます。

お礼日時：2008/03/07 11:46