| Copyright © 2000-2005 eazyfox. All Rights Reserved. | |||||
| Home > SecuTool > AntiVir Personal Edition Classic | |||||
| Copyright © 2000-2005 eazyfox. All Rights Reserved. | |||||
| Home > SecuTool > AntiVir Personal Edition Classic | |||||
無償Anti-Virusの一方の雄であるAntiVirのPersonal Edition(Ver.7)を紹介する。同じAvira(旧H+BEDV)の同じ有償Anti-Virus製品と区別するため、AntiVir
Personal Edition Classicと個人使用向けである「Personal Edition」とAviraにとって最新の機能を持つ製品ではないことを示す「Classic」の2つの単語がつけられている。
ここで言う最新の機能とはAnti-SpywareやAnti-TrojanなどVirus以外への対応機能であったり、POP3やSMTPなどのEmailを検査する機能などを示し、Anti-Virusの機能が古いというものではない。
AntiVirの優れた点は頻繁なパターンファイルのアップデートと常駐動作の軽さにある。筆者は今でもClassic
Pentium時代のPCをメールやブラウザを使用しない単純なファイルサーバとして使用しているのだが、AntiVirならこのようなWindows95当時のPCにインストールしても支障なく動作する。
ちなみにメーカの指定している動作環境は次のとおり。
| 必要なスペック | |
| CPU | Pentium133MHz以上 |
| OS | Windows98以上 |
| HDD | 30MB以上の空き領域があること 100MB以上のTemp領域が確保できること |
| RAM | 128MB以上(Windows98〜Windows2000)、196MB以上(WindowsXP)を搭載していること 実行時には25MB以上のFree領域があること |
| その他 | IE5.5以上がインストールされていること インストール時のユーザがadministrator権限を持っていること(2000,XPの場合) |
実際にWindows2000を入れたPentium333MHzでRAMが128MBの5年以上前の旧型ノートPCでもちゃんと常駐保護を有効にした状態でOfficeを動かせるのである。(いまだにそんなPCを使っているのかと言われそうだが・・・)
Donwloadはhttp://www.free-av.com/antivirus/allinonen.htmlから行う。2000,XP系と98系でモジュールが異なるのでちゃんと自分の仕様環境にあったモジュールをDownloadすること。
旧バージョンの説明はこちらへ移動
では早速、モジュールをダウンロードしてインストールを行おう。インストールで困ることは無い。順に「次へ」をクリックして行けば良い。
最初は何も考えずに「次へ」をクリックする。
AntiVirはなぜか昔から傘のマークがアイコンやイメージとして使われている。
「I accept the terms of the license agreement」は表示されているライセンス表示に同意したことを示す。ここにチェックを入れて「次へ」をクリックする。
ライセンスの表示は一通り目を通しておこう。
次に「このAntiVirは個人的に使用するのであり、商業目的や企業で使用するのではない」ということであればチェックを入れて「次へ」をクリックする。
| ここで分かるとおり、AntiVir Personal Editionを仕事(職場のPC)や商業利用で使用することはできない。あくまでも個人的に使用するPCのみ使用が許可されている。 |
次はシリアル番号の自動生成。シリアル番号は個人を特定するものではなく、パターンファイルのUpdateを行うときのサーバ負荷を低減するために使用しているという内容。チェックを入れて「次へ」をクリックする
AntiVirは旧バージョンではUpdateの速度が問題だった。夜間(日本以外の国が昼間)ではサーバへの接続がタイムアウトしてしまうほど遅かったが、新バージョンでは負荷分散が取り入れられて普通にUpdateできるようになった。この負荷分散にPC固有のシリアル番号が使われているらしい。
次はインストールの方法を指定する。
| Complate | 全て規定値(必要な機能全て)をインストールする |
| Custom | 上級者向けに必要な機能を選択してインストールする |
どちらかを選んで「次へ」をクリックするとインストールが開始される。Customではインストール先のフォルダ指定やインストールコンポーネントの選択やショートカットの作成が可能だが、あまり難しく考えずに普通にComplateでインストールするのがよいと思う。なおCustomで表示されるコンポーネントの一覧を下記に示す。
| AntiVir PersonalEdition Classic | ウィルススキャンの本体。必須コンポーネント |
| AntiVir Guard | 常駐保護(常にファイルのアクセスをリアルタイム監視する)コンポーネント |
| Shell Extension | Windows Explorerのコンテキストメニューでファイルやディレクトリを指定してチェックするコンポーネント |
以上でインストールは終わりだ。WindowsXPのSecurity Centerはインストールだけではウィルス対策がActiveにならず、最初のUpdateを行って最新のパターンデータを取得するとActiveになるらしい。
ではメイン画面から見て行くことにしよう。
メイン画面は設定画面とは別に用意されている、日々の実行に関係する画面である。
タスクトレイの「Start AntiVir」をクリックするか、スタートメニューから「Start
AntiVir PersonalEdition Classic」を選択する。
・Status:ステータス
ステータス画面では保護機能の稼動状態、Updateの状態、ライセンスの状態を表示している。
「AntiVir Guard」は常駐保護機能でActivated:有効、 Deactivate:無効をあらわしている。
右側の「Deactive」は無効にするスイッチで、もしAntiVirの常駐保護機能により正常に動作しないプログラムがあるときだけ手動で無効にする。
Last updateはパターンファイルの最終Update日時をあらわしている。パターンファイルとスキャンエンジンのバージョンと日付がその下に表示され、「Start
update」はUpdateの開始スイッチである。ここではVirusの定義ファイルがV6.33.00.232で2006年2月13日に提供されたものということだ。あれ?最終Update日付と定義ファイルの日付が食い違っている・・・なぜ?
最後のLicense valid untilはライセンスの有効期間で下に使用有効期限の日付が表示されている。ここでは2006年5月31日。Updateを行うタイミングで有効期限は自動で延長されている。したがって日付が数日後だからといって、直ぐに使えなくなるものではない。
右上の「Configuration」は各種設定、「Help」は使用方法の説明である。
左側のアイコンは下記の3つを確認している。
| 正常な状態。AntiVir Guardなら正常に実行しているとき。Updateは最新パターンファイルになっているとき | |
| 注意が必要な状態。Updateが数日実行されていないときはこのアイコンになる | |
| 危険な状態。パターンデータが非常に古いときにはこのアイコンになる。すぐにUpdateを行いこと |
・Scanner:手動スキャン実行(Direct Scan)
手動スキャンは下にあるツリーからスキャン対象を選択して虫眼鏡のボタンをクリックする。
虫眼鏡の右側は手動スキャンを実行するショートカットの作成ボタン。特定のドライブやフォルダを頻繁にスキャンするときにはショートカットを作成しておくと便利である。
ショートカットはC:\Documents and Settings\All User\AntiVirに作成される。
| Local Drives | 自PCのすべてのドライブをスキャンする |
| Local Hard Disks | 自PCのハードディスクをスキャンする |
| Removable Drives | 自PCのFD,CD、MOなど固定ディスク以外をスキャンする |
| Windows System Directory | Windowsのシステムフォルダをスキャンする |
| Manual Selection | スキャン対象をツリーからドライブを選択してスキャンする |
Manual Selectionはエクスプローラの様にドライブの一覧がツリーで表示される。スキャンしたいドライブにチェックを入れることで特定のドライブだけを手動スキャンすることが可能だ。手動スキャンはエクスプローラの右クリックから実行することも可能だが、MOやUSBなどのリムーバブルなメディアを使って頻繁にデータのやり取りを行う場合にはリムーバブルメディアの手動スキャン実行ショートカットを作っておくと大変便利である。
「Configuration」は手動スキャンの設定。「Help」はヘルプなのはすべての画面共通。
・Guard:常駐保護機能の状態表示(On-Access Scan)
常駐保護機能の状態を表示する画面である。表示される項目は上段がスキャンしたファイル名とウィルスを検出したファイル。下段はこれまで(常駐保護機能が開始したときから)のスキャンの統計情報になっている。
常駐保護は黒子的な役割のため、実際にスキャンした内容を観察する必要は無い。しかし実際に常駐保護が正しく機能しているのかをチェックするためには、この画面のような統計情報が必要である。
左上のボタンは起動時のログをNotepadで表示するボタンだ。画面に表示される項目の内容は以下のとおりである。
| Last file found | ウィルスを検出した直近のファイル名 |
| last detection | 検出したウィルスの名称 |
| last scanner file | 最後にスキャンしたファイル名 |
| Statistics | |
| Number of files | スキャンしたファイルの数 |
| Number of messages | 表示したメッセージの合計 |
| Number of deleted files | 削除したファイルの数 |
| Number of repaired files | 修復したファイルの数 |
| Number of moved files | 隔離部屋へ移動したファイルの数 |
| Number of renamed files | リネームしたファイルの数 |
ログ表示で表示されるのはこんな内容。起動時にライセンス番号をチェックしてサービスを起動したことをあらわすのが最初の5行くらいで、それ以降は設定内容が出力されている。一例を挙げると「Scan only files・・・」はスキャン対象とする拡張子の一覧で、「Heuristic」は未知のウィルスの検出設定である。
| 2006/08/31,8:52:15 --------------------------------------------------------- 2006/08/31,8:52:16 Keyfile contains a valid license. The Avira AntiVir PersonalEdition Classic will run as a fully functional version! 2006/08/31,8:52:16 AntiVirService Version: 7.00.00.29 AVE Version 7.1.1.2 VDF Version: 6.35.1.153 2006/08/31,8:52:19 Start Filter Device. 2006/08/31,8:52:19 Avira AntiVir PersonalEdition Classic has been started successfully! 2006/08/31,8:52:19 [CONFIG] On-Access configuration used: - Files to scan: scan files from local drives - Device mode: scan files on open, scan files on close - Scan only files with one of the following extensions: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP - Unpack runtime compressed files - Actions: ask the user - Heuristic: MACRO - Logfile report level 1 |
なお画面中央右側の「Virus Information」は検出したウィルスの情報表示である。
・Quarantine:隔離部屋
隔離部屋は検出されたウィルスを一時的に移動して、改めて調査や修復を行い、問題が無ければ元に戻したり、明らかに感染しており修復できない場合は削除などの操作を行うところである。
なお、ウィルス検出時に「Delete」:削除や「Rename」:ファイル名の変更に設定してあると隔離部屋への移動は行われない。
ウィルス検出時に隔離部屋へ移動するのが望ましい理由は2つある
一般的にシステムファイルやexeファイルに感染するウィルスは修復で駆除することはできない。一度書き換えられたシステムファイルを元に戻すことは非常に難しいからだ。感染しない(ファイルに寄生しない)ウィルスやワームは削除だけが唯一の駆除方法となるため隔離部屋へ格納してもあまり意味は無いが、先に述べた理由から筆者は最初のアクションが"修復"、次のアクションが"隔離部屋送り"としている。
隔離部屋で実行可能なアクションは次のとおり。
| Rescan selected object(s) | 再度スキャンをしてウィルス検出を行う。誤検出の可能性があるので修復や削除の前に必ず行うのが望ましい | |
| Display properties of selected object | 感染ファイルの情報を表示する。スキャンエンジンのバージョンやウィルス検出の日時などが表示される | |
| Restore selected object(s) | 感染ファイルを元の位置に戻す。感染しているファイルならたいへん危険である | |
| Restore selected object to ... | 感染ファイルを指定した位置に戻す。ダイアログが表示され戻すドライブやフォルダが指定できる | |
| Add suspicious file to quarantine | 危険だと判断されるファイルを隔離部屋へ移動する。明らかに感染が考えられるファイルはスキャンしなくても隔離部屋へ移動しよう | |
| Send selected object | 感染ファイルをメールでAviraに送信する。SMTPの設定が必要 | |
| Delete selected object(s) from quarantine | 隔離部屋からファイルを削除する |
感染ファイルの情報表示はこんな感じ
主な表示内容は
| Filename | 感染ファイルの元のフォルダとファイル名 |
| Quarantine object | 隔離部屋でのファイル名 |
| Sent to AntiVir | Aviraへの検体メール送信 |
| Search engine | 検出時のウィルスチェックエンジンのバージョン |
| Virus definition file | 検出時のパターンファイルのバージョン |
| Detection | 検出したウィルス名 |
| Date/Time | 検出した日時 |
表示される内容は一覧表示の項目と変りはない。隔離部屋では検出ファイルは全く異なる名前で保存されていることがわかる。
・Scheduler:スケジュール
AntiVirではあらかじめ2つのスケジュールが登録されている。
1つ目は「完全システムスキャン」、2つ目は「アップデート」である。
| Name | スケジュールジョブ名 |
| Action | Scan(スキャン)かUpdate(アップデート)か |
| Frequancy | 実行タイミング |
| Display mode | 実行時の表示モード。最小化、通常、表示無しから選択できる |
| Activated | スケジュールの有効/無効の設定。チェックがあれば有効 |
"Activated"がある意味はときどき実行するスキャンやアップデートを"Immediately":直ちに実行でスケジュールに登録しておき、実行するときだけActivetedにチェックを入れるということらしい。
ではスケジュールを試しに登録してみる。
スケジュールに登録できるタスクはスキャンとアップデートの2種類である。
これはUpdate(アップデート)のDaily(1日1回)の指定画面だが 、スキャンの指定画面もほとんど同じ。インターネット接続の有無の指定がないだけだ。
項目は上から順に下表のようになる
| 実行タイミング | "Immediately"〜"Single"を選択する |
| 実行日時 | 実行する曜日、時間、分や間隔を指定する |
| インターネット接続の有無 | アップデートだけ。指定時間にインターネット接続が有効なときだけ実行するかどうかを指定する |
| 指定時間実行不可時の次回動作 | 実行できなかったとき、次のタイミングで実行するかを指定する。 |
実行タイミングの意味と指定内容と下記のようになる。
| Scan | Immediately | 直ちに実行 | ||
| Daily | 毎日実行 | 実行時間を指定 | 指定時間(日)に実行できなかったときは繰り返し実行する指定あり | |
| Weekly | 特定の曜日に実行 | 実行曜日と時間を指定 | ||
| Interval | 一定時間ごとに実行 | 実行間隔を日数、時間、分(最小15分)で指定 | ||
| Single | 1回だけ実行 | 実行日付と時間を指定 | ||
| Update | Immediately | 直ちに実行 | ||
| Daily | 毎日実行 | 実行時間を指定 | インターネット接続時のみ実行する指定と指定時間(日)に実行できなかったときは繰り返し実行する指定あり | |
| Weekly | 特定の曜日に実行 | 実行曜日と時間を指定 | ||
| Interval | 一定時間ごとに実行 | 実行間隔を日数、時間、分(最小1日)で指定 | ||
| Single | 1回だけ実行 | 実行日付と時間を指定 |
タイミングの次は実行するときの画面表示の設定がある。ここで選べるのは次の3種類
| invisible | 表示しない |
| minimized | 最小化の状態で表示。進捗バーのみ表示される |
| maximized | 通常の大きさの画面表示 |
ではUpdateを"表示なし"で実行するとアップデートの進捗を示すバーが表示された画面は出てこなくなる。しかし「有償版にアップグレードしたらとっても良いよ」という広告画面はしっかり表示される。
スケジュールで実行可能なアクションは
| Insert new job | 新たにスケジュールジョブを追加する | |
| Display properties of selected job | 登録済みスケジュールジョブの詳細を表示する | |
| Edit selected job | 登録済みスケジュールジョブの変更を行う | |
| Delete selected job(s) | 登録済みスケジュールジョブを削除する |
・Reports:レポート
レポートはこれまでのスキャンやアップデートの結果が参照できる。
| Action | レポートの動作。Update(アップデート)かScan(スキャン) |
| Result | 結果。"Successful"は成功。"not successful"は失敗 |
| Date/Time | レポートが作成された日時 |
毎日行うアップデートもレポートが作成される。
| Display selected report | レポートの内容を表示する | |
| Display report file of the selected report | 詳細なレポートファイルを表示する | |
| Print report file of the selected report | 詳細なレポートファイルを印刷する | |
| Delete selected repot(s) | レポートを削除する |
詳細なレポートファイルを開いて見ると
これはアップデートの内容。詳細な内容だけあってあまりみる意味は内容に思う。
スキャンの内容も同じように、スキャンしたときのエンジンやパターンファイルのバージョンからスキャンの詳細が表示される。
・メニューバー
メイン画面のメニューバーの一覧も書いておこう。
| File | Exit | メイン画面の終了 |
| View | Status | ステータス画面の表示 |
| Scanner | 手動スキャン実行画面の表示 | |
| Guard | 常駐保護機能画面の表示 | |
| Quarantine | 隔離部屋画面の表示 | |
| Scheduler | スケジュール画面の表示 | |
| Report | レポート画面の表示 | |
| Refresh | 最新の内容を表示しなおす | |
| Extras | Boot records scan ... | |
| Detection list ... | ||
| Configuration | 設定画面の表示 | |
| Update | Start update ... | アップデートの開始 |
| Manual update ... | Downloadしたパターンファイルからアップデートを行うとき。ファイル選択画面が表示される | |
| Help | Readme | Readmeファイルの表示 |
| Contents | ヘルプファイルの表示 | |
| Support | AntiVirサポートサイトの表示(ブラウザが起動してhttp://forum.antivir-pe.de/index.phpが表示される) | |
| About AntiVir PersonalEdition classic | AntiVirについて。ファイルのバージョンやライセンスの情報が表示される |
設定画面はタスクトレイの「Configure AntiVir」をクリックするか、メイン画面の「Configuration」から起動する。では設定画面を見ていこう。
設定画面は通常モードとエキスパートモードの2つがある。画面左上の「Expert mode」にチェックを入れるとエクスパートモードになり、より詳細な設定が可能になる。エクスパートモードで表示される項目は「色つき」しておく。
・Scanner:手動スキャンの設定
(1) Scan
最初はScanner(手動スキャン)の設定。
ここでは手動スキャンの対象とするターゲット(ブートセクタやファイル)を指定する。
手動スキャンは定期的にディスク全体を行うことが多いので、対象は全ファイルとするのがよいだろう。またブートセクタやメモリー内のスキャンも同時に行うようにするのがよい。
実行優先度の指定は通常は"Low"で良いだろう。
| File | スキャンの対象とするファイルを指定する | |
| All files | 全てのファイルを対象とする | |
| Use smart extensions | ファイルの内容からAntiVirがスキャン対象の有無を判断する | |
| Use file extension list | 対象拡張子一覧(File extensions)に該当するファイルを対象とする | |
| Additional settings | 拡張設定 | |
| Scan boot sector of selected drives | ドライブのブートセクタも同時にスキャンする | |
| Scan memory | メモリー内にロードされているプログラムも同時にスキャンする | |
| ignore offline files | オフラインファイルは無視する | |
| Scan process | スキャンの実行環境指定 | |
| Allow stoppong the scanner | スキャナ実行画面(Luke Filewalker)でストップボタンを有効にする。チェックを入れないとストップボタンは押せない状態になる | |
| Scan priority | スキャンの実行優先度を指定する。普通のPCでスキャン中にもOfficeアプリケーションなどを動作させる場合は"low"にしておく。他のプログラムを動かさない場合は"normal"や"High"でもよい | |
AntiVirの掲示板では「Use smart extensions」を使え!とAviraの担当者は言っている。ファイルの拡張子を指定すると該当拡張子のファイルしかスキャンしないがSmart Extensionsでは偽装拡張子や2重拡張子も関係なく、ファイルの中身によってスキャン対象とするかをAntiVirが判定するからだ。
(2) Action on malwar
ウィルスを検出した時の動作を指定するのが「Action on malware」である。ウィルス検出時の動作はPCの使用目的によって異なる。通常、Officeアプリケーションなどを利用しているワークステーション目的のPCではダイアログを表示してウィルス検出ファイルの処理を選択する。これはウィルスの検出を使用者に知らせるとともに、ファイルの重要度や感染経路によって異なった処理が考えられるからだ。
またサーバのように通常は画面を使って操作を行わないようなPCでは、いちいち検出時に止まるよりも決められた処理を実行するほうがよい。AntiVir
PersonalEditionはワークステーションでの利用が主目的なのでダイアログにより処理を選択するのが一般的だろう。
| Handling when malware is detected | ウィルス検出時の処理 | |||
| Interactive | ウィルス検出時にダイアログを表示して動作を選択する | |||
| Automatic | ウィルス検出時に自動的に定義された処理を実行する | |||
| Copy file to quarantine before action | 処理を実行する前に隔離部屋にファイルをコピーする | |||
| Primary action | 最初に試みる処理 |
repair:修復 rename:名前変更 quarantine:隔離部屋 delete:削除 ignore:無視(継続) |
||
| Secondary action | 最初の処理が失敗したときに次に試みる処理 | |||
| Acoustic alert | ウィルス検出時の警告音 | |||
| Wave file | ウィルス検出時に鳴らすWaveファイルを指定する | |||
| Test acoustic alert | Waveファイルのテストを行う | |||
手動スキャンによるウィルスチェックは特定のフォルダやファイルだけなら数分で終るが、全ドライブをスキャンすると数時間になる場合がある。「Interactive」だと寝る前に全ドライブを指定して、朝起きてみると最初のドライブで「ウィルス検出」と表示した画面で止まったままで、またやり直しか・・・となる。
そこで筆者は全ドライブをスキャンするなら「Automatic」:自動処理を指定することで、全てのファイルを最後までチェックするようになる。「Automatic」を選びPrimaryを「repair」:修復、secondaryを「Quarantine」:隔離部屋へ移動をさせるように設定している。特定のフォルダをスキャンするならInteractiveのほうが使いやすいのは先に説明したとおりだ。どちらが良いとかではなく、使い方によって変更するのが良いということ。
(3) Archives
手動スキャンの圧縮ファイルのチェックを指定する。圧縮ファイルをスキャン中に解凍して内容をチェックするのだ。そのため、ここでチェック対象とする圧縮形式と、多重圧縮のファイルはどの階層まで解凍してチェックするかを指定するのがこの画面。
対応している圧縮形式は通常使われる形式はほぼ網羅している。
メールの添付ファイルの形式にも対応しているので、受信メールの添付ファイルのチェックも可能だ。
| Scan archives | Archivesで指定された圧縮ファイルをスキャンする | |
| All archives types | Archivesで指定された全ての圧縮形式を対象とする | |
| Smart Extensions | ファイルの偽装拡張子を検査しながらスキャンする | |
| Limit recursion depth | 多重圧縮の階層を制限する | |
| Maximum recurision depth | 何階層まで解凍するかを指定 | |
| Archives | 対象とする圧縮形式を指定する | |
「Smart Extensions」は偽装拡張子に対応した検査方法なので、スキャンに時間が掛かる。たとえば"aaaa.zip"を"aaaaa.txt"という拡張子に変更したファイルがあるとする。本来は圧縮ファイルではない拡張子なのでそのままの内容でチェックするのだが、Smart ExtensionsがONになっているとファイルの内容を見て、zip圧縮形式だと判断し解凍してからチェックを行うという仕組みだ。そのためファイルの内容をチェックする時間が必要になる。
(4) Exception
手動スキャンでスキャンの対象外とするファイルを指定する。フォルダやドライブでの指定も可能になっている。筆者のようにウィルスコレクションを持っている人には必須の機能。また明らかな誤検出でも使うことになる。
左側のボックスでファイルを指定して、「Add」ボタンをクリックすると右側の「除外一覧」にファイルが追加される。また除外一覧からファイルを選択して「Delete」をクリックすると除外一覧から外すこともできる。
注意書きにもあるように除外一覧の合計文字数が6000文字を超えると設定できない。またレポートには除外一覧が出力されるので、スキャン後にレポートをチェックして本当に除外するのが正解なのか判断すること。
(5) Heuristic
未知のウィルスを検出するHeuristicの設定。マクロウィルスとWindowsのシステムファイルについてチェックを行うかを指定する。
「Heuristic検査はパターンファイルによる指紋の一致を検査するのではなく、コードの内容をチェックしてウィルスやトロイの木馬に特有の動作をするコードの有無をチェックする方法です。したがってメールの送信やファイル・レジストリの書き換えなどを含むマクロでは誤ってウィルスと判断される場合があります」とHelpにあるようにファイルの中身で判断している。そのためWin32ファイルのチェックではどこまで積極的にチェックを行うかを指定できるようになっている。あまり難しく考えずにデフォルトの設定で良いように思う。
| Macrovirus heuristic | 未知のマクロウィルスの検査を行う | |
| Win32 file heuristic | 未知ウィルス検査をWindowsファイルに対して行う | |
| low detection level | 簡単に数種類の検査方法を採る | |
| Medium detection level | 中間レベルの検査方法を採る | |
| High detection level | より多くの検査方法を採る | |
(6) Report
レポートに出力するレベルを指定する。より詳細な内容を求めるのなら"Complete"、あまりレポートは見ないのなら"Default"でよいだろう
| Off | レポートの出力なし |
| Default | パターンファイルやエンジンのバージョン、スキャンの設定、警告メッセージ、スキャン結果(検出数)が出力される |
| Extended | Defaultの情報に加えて警告メッセージの詳細な内容が出力される |
| Complete | 全ての情報を出力する。Defaultの情報に加えてスキャンした全ファイル、レジストリ名までレポートに出力される |
・Guard:常駐保護機能
常駐保護機能(ファイルの入出力のタイミングでウィルスチェックを行う機能)の設定。
(1) Scan
常駐保護機能の設定で重要となるチェックのタイミングと対象ファイルの設定を行う。チェックタイミングはどれもWindowsがファイルの読み書きを行う命令を発行したとき、AntiVirが先に対象ファイルのウィルスチェックを行う。そのためファイルの入出力の度に時間とCPUパワーが必要になる。
動作の軽快さが特徴となっているAntiVirだが、古い機種だとスキャンタイミングと対象ファイルの設定をよく考えないとPC全体のパフォーマンスが悪くなってしまう。
| Scan mode | スキャンするタイミングを指定する | |
| Scan when reading | ファイルを読み込むときにスキャンする | |
| Scan when writing | ファイルを書き込むときにスキャンする | |
| Scan when reading and writing | ファイルを読み書きするときにスキャンする | |
| Drives | Local drives | チェック対象のドライブ。自PCに接続しているローカルドライブが対象(必須) |
| Files | スキャン対象のファイルを指定する | |
| All files | すべてのファイルを対象とする | |
| Use smart extensions | ファイルの内容からAntiVirがスキャン対象の有無を判断する | |
| Use file extension list | 拡張子一覧に指定されたファイルを対象とする | |
| File extensions | 拡張子一覧へ追加、削除を行うダイアログを表示するボタン | |
| Archives | 圧縮ファイルをスキャン対象とする | |
| Unpack runtime compressed files | 実行型圧縮形式のファイルを解凍してスキャンする | |
結局、ここの設定は次のようになるのだろう。あくまでも参考として。
| Scan mode | Files | Archives | |
| パフォーマンス優先 | Scan when reading | Use file extension list | チェックしない |
| 通常 | scan when reading and writing | Use smart extensions | チェックする |
| セキュリティ重視 (CPU、リソースに余裕あるPC) |
scan when reading and writing | All files | チェックする |
結局は各自のPCのパワーと使い方によって設定を変えてみるのがよいということ。
(2) Action on malware
常駐保護機能でウィルスを検出したときの動作を指定する。
手動スキャンとは異なり、常駐保護機能がウィルスを検出するのは直前に行った操作が起因するので、「ちょっと待った!」という警告が必要となりダイアログの表示しか選べない。
また検出をイベントログに出力したり、音を鳴らして警告する設定がある。イベントログは集中管理(個人で集中管理する方も少ないだろうが・・・)しているときには便利に使える。
| Handling when malware is detected | ウィルス検出時の操作方法を指定する | |
| Interactive | ダイアログを表示して処理を選択する | |
| Notifications | ウィルス検出時の補助動作を指定する(2000,XP版のみ) | |
| Use event log | イベントログに出力する | |
| Acoustic alert | 音を鳴らす | |
(3) Exception
常駐保護機能のチェック対象外とするプロセスやファイルを指定する。
指定方法は左側テキストボックスにプロセス名、ファイル名を指定して「Add」をクリックする。登録済みのプロセスまたはファイル名を削除するには右側登録一覧から削除したい名前を選択して「Delete」をクリックする。
「Processes to be 〜」がプロセス名を指定するほう。最大16文字となっている。
「File objects to be 〜」がファイル名を指定するところ。ちなみにディレクトリ単位の指定やワイルドカード("*"や"?")も使える。手動スキャンと同じように最大で6000文字までの制限があるし、たくさん指定するとスキャン速度が低下する。
手動スキャンも同じだが、常駐保護機能ではチェック対象外のプロセスやファイルを指定は慎重におこなう必要がある。できれば除外指定は一切行わず、警告が出ると必ずファイルやプロセス名を確認して「ignore」を押すようにするのがよい。
なおこの機能は2000,XP版だけの機能である。
(4) Heuristic
常駐保護機能の未知ウィルスに対する検査の設定を行う。画面の内容は手動スキャンの「Heuristic」とまったく同じである。
ここもパフォーマンスを優先するのならあまり厳密にしないほうが良い。
| Macrovirus heuristic | 未知のマクロウィルスの検査を行う | |
| Win32 file heuristic | 未知ウィルス検査をWindowsファイルに対して行う | |
| low detection level | 簡単に数種類の検査方法を採る | |
| Medium detection level | 中間レベルの検査方法を採る | |
| High detection level | より多くの検査方法を採る | |
以上が常駐保護機能の設定である。一般的なユーザであれば常駐保護機能がウィルスを検出するのは1年に数回あるかないかの頻度だと思う。しかし日々のPC使用において確実にウィルスから防御してくれる常駐保護機能を「時々使う」では意味が無いと考える。常に動作させてサニタイズされたPC環境を作ることが大切である。
・General:その他の設定
(1) Email
ウィルス検出などのイベント発生時にメールを送信する機能を設定する。現バージョンではAviraに検体を送信する機能だけしかない。
左図はまったくの架空ドメインなので実際に送っても筆者のところには届かないので、念のため。
設定する項目はメールを送信するためのSMTPサーバとアドレス。通常使っているメールクライアントの内容でOK。また最近ではSMTPサーバへのログイン(送信時認証)が必要なケースが多いのでSMTP認証の設定がある。
| Email messages | E-Mailの設定を行う | |
| SMTP Server | 送信するSMTPサーバを指定する(ESMTP、TSL,SSLも未サポート) | |
| Sender address | 送信者のアドレスを指定する | |
| Authentication | SMTP認証の設定を行う | |
| Use authentication | SMTP認証を利用する | |
| Login name | SMTPサーバへのログイン名 | |
| Password | SMTPサーバへのログインパスワード | |
実際にAviraへ検体を送信することにしか使用しないので、検体を送ることを考えないユーザは設定する必要は無い。
(2) Extended threat categories
簡単に言うと「ウィルス以外の好ましくないプログラムやファイルを報告する機能」の設定である。
右側の一覧に「Backdoor-client」:トロイの木馬や「Dialer」:ダイヤルアッププログラムから「Joke」:不快な冗談プログラムなどがあるので検出したい種類にチェックを入れる。
すべてにチェックを入れてもかまわない(Select Allにチェックを入れる)。デフォルトのままでもよい。
(3) Security
AntiVir自身のセキュリティ設定。
上はアップデートを指定期間行わなかったとき(パターンファイルの日付が古いとき)に警告を出す設定。下は設定変更を不可にする機能である。
最近はウィルスの伝播速度が速くなる傾向にある。パターンファイルのアップデートは頻繁に行うのが望ましい。PCを起動して直ぐにメールをチェックするのではなく、起動→パターンファイルの更新→メールの受信という順に操作して欲しいものだ。
(4) Directories
ウィルスチェックで使用する一時ファイルのフォルダを指定する。圧縮ファイルの解凍などで結構な容量が必要となるので、速くて十分に余裕のあるドライブ・フォルダを指定すること。
上段はシステムが使用するTemp領域を使う(Use default system settings)かユーザ指定の領域(Use
following directory)のどちらかを指定する。ユーザ指定の場合は下段でフォルダを指定する
(5) Update
アップデートを行うときに使用する接続方法を指定する。
普通は上の接続中の回線環境を利用する(Use existing connection)でよい。ダイヤルアップでアップデートを行うときはの「Use
the following connection」で設定する。評価したPCにはダイヤルアップの設定がないため、ここでは設定できないのが残念。
「Terminate a dial-up〜」はアップデートが終わったときにダイヤルアップ接続を切断するときにチェックする。
(6) Proxy
アップデート実行時に使用するProxyサーバを指定する。通常のインターネット接続でProxyを経由しなければ利用できないのであれば設定する。
以上がAntiVirの設定画面である。設定項目自体は前バージョンと変わりないなというのが素直な感想。
スキャンを実行するには次の方法がある。いずれもディスク、フォルダ、ファイルのどのオブジェクトでもスキャンが可能。
ショートカットの作成によるスキャンというのはなかなか良い感じである。
ではスキャンの実行画面とウィルス検出時の画面を見ていこう。
・ルーク・ファイルウォーカー
スキャンの実行画面は旧バージョンと同じく「Luke Filewalker」である。残念ながらフォースを使ってウィルスを検出する様子は判らないよう地味な画面だ。真ん中のバーが100%になればスキャンは終了である。上段がスキャン中のオブジェクト(ファイル、ブートセクタ、レジストリ、メモリーなど)とファイル名である。
下段はスキャンの結果で左上から順にスキャンしたファイル数、スキャンしたディレクトリ数、スキャンした圧縮ファイル数、経過時間、スキャン進捗率。右側に行ってウィルス検出数で、その下が処理件数(修復、削除、隔離部屋移動、警告)になっている。
スキャンの速度は結構速い。筆者のしょぼい環境でも1時間もあれば終わるが、これまで書いてきたように設定によって大きく変るので参考にはならないかも。
・ウィルスの検出画面
常駐保護機能でウィルスを検出したときの画面。下にある手動スキャンのときと同じ画面だが、上の表示が少しだけ異なる。下段の動作選択では次のような処理が選択可能。
| Repair | ウィルスだけを削除してファイルを修復する(修復が不可能なときは選択できない) |
| Move to quarantine | 隔離部屋へ感染ファイルを移動 |
| Delete | 感染ファイルを削除する |
| Rename | 感染ファイルの名前を変更する |
| Access deny | 感染ファイルへのアクセスを禁止する |
| Ignore | 警告を無視して継続する |
隔離部屋へ移動、削除、アクセス禁止を選択するとファイルは存在しないことになるので元のファイルを開こうとしたアプリケーションではエラーになる(空ファイルを開いたことになる場合もある)。
ちなみにこの警告が出てくるファイルはFirewallのリークテストで使用するプログラムだ。
筆者はこのような検体ファイルをコレクションしているため大抵は「Access Deny」でファイルが存在しなかったことにしてファイルの実体は安全に保管している。
こちらは手動スキャンで検出したときの画面。「Duaring the scan〜」とあるように「スキャン中に検出した」と書いてある。しかし表示される内容は常駐保護機能と同じ。
まぁ別に画面の表示が異なったほうが良いと 言っているわけではないが、もう少し遊び心が欲しい。
一番下の「Apply selected to all following detections」にチェックを入れると、以降ウィルスを検出したときに今回指定した動作と同じことを繰り返すときにチェックを入れる。
もしウィルスに犯されたディスクをスキャンすると同じウィルスが数十から数百検出されるので、この「今後同じ処理を行う」スイッチはありがたい。
最後に隔離部屋へ移動を選択したとき、どうしても移動できなかった場合はこの画面が表示される。
ファイルが使用中または削除の権限がないので移動することができないと書いてある。
このときは
「Delete locked files after reboot」:次回Windows起動時にファイルを削除する、
「Ignore」:無視して継続する
以上の2つから選ぶことになる。
実際には次回起動時に削除を選択するのが望ましい。
アップデートを実行するにはメイン画面やタスクトレイの右クリックから「Start
Update」を選択する手動アップデートとスケジュールから実行するデイリーアップデートの2通りがある。
左図はアップデートで最新パターンファイルがなかったときの画面たが、通常の表示は次のとおり。
ちなみにボタンは
「Reduce」:進捗バーだけの表示にする
「Abort」:アップデートの中断
「Report」:アップデートのログ表示
アップデートが完了すると真ん中の「Abort」ボタンが「Close」ボタンに変り、10秒のカウントダウンが開始する。「Close」をクリックするか、10秒待てばこの画面は閉じられる。
| Status | 現在実行している状態 |
| Current file | ダウンロード中のファイル名 |
| Time elapsed | 経過時間 |
| Estimated time remaining | 推定残り時間 |
| Download speed | ダウンロード速度 |
| Downloaded bytes | ダウンロード済みのサイズ |
| Remaining bytes | 残りサイズ |
こちらが進捗バーだけの画面。「Enlarge」をクリックすると元の大きな画面に戻る。
スケジュールの設定で行う画面サイズではこれはminimized:"進捗バーだけ"の表示。元の大きさがmaximizedである。
AntiVirは差分アップデートを行っているので、小さな追加パターンファイルをするだけで、毎回数MBのパターンファイルをDownloadしているわけではない。
AviraのFAQ情報を拾ってみた。筆者による意訳なので相当内容が変わっていますが参考になれば幸いです。
・設定ファイル
通常であれば「C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition classic」に"AVWIN.ini"があり、設定内容が保存されている。設定画面では変更できない項目もあるので、いじってみるのも楽しいかも
| [UPDATE] |
EnableScan=1 EnableRebootMsg=1 InternetDownloadUrl=http://dl1.avgate.net/upd, http://dl2.avgate.net/upd, http://dl3.avgate.net/upd, http://dl4.avgate.net/upd, http://dl5.avgate.net/upd, http://dl6.avgate.net/upd DUNConnection=*DUN*WIN*CONNECT* DialUpLogin= DialUpPassword= CloseConnection=1 ProxyEnabled=0 ProxyAddress= ProxyPort= ProxyLogin= ProxyPwd= |
アップデートの設定 "InternetDownlodUrl"にサーバのURLが6個設定されている。試しにdl6を先頭に変更したらファイルのバージョンチェックをdl6から行うようになった。少しだけ速くなった様な気がする。 |
| [COMMON] | RunCPLInExpertMode=1 PrefixDiff= ProtectConfiguration=0 UseSystemTempPath=0 TempDirectory=C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\TEMP\ |
一般設定の項目。ProtectConfigurationが設定変更のプロテクトだな |
| [GUARD] | OnAccessDeviceMode=3 OnAccessScanLocalDrives=1 OnAccessScanNetworkDrives=0 OnAccessScanAllFiles=0 OnAccessExtensionList= OnAccessArchiveMode=1 ReportingLevel=1 OnAccessBackupLog=0 OnAccessWriteConfigToLog=1 MaximumLogFileSize=1048576 ScanActionMode=1 BeforeActionToQuarantine=0 PrimaryActionForInfected=7 SecondaryActionForInfected=7 UseEventlog=1 WarningSound=1 OnAccessFileExclusionCount=0 OnAccessExcludeProcessNames= MacroVirusHeuristic=1 Win32Heuristic=0 Win32HeuristicMode=1 |
常駐保護機能の設定。 ログのサイズがMaximumLogFileSize。OnAccessScanNetworkDriveを1にするとネットワークドライブもスキャンするのか? |
| [SENDMSG] | SmtpHostName=mailserver.firewallandforest.com SmtpSenderAddress=VirusReport@firewallandforest.com SmtpUseAuthentication=0 SmtpUserLogin=eazyfox SmtpUserPassword=9B2CCED0A1A3A4A6FDC3568A7D2886400000000000000000000000000000000000 |
メール送信の設定 |
| [VDFCHECK] | MaximumVDFAge=3 | VDF(ウィルスパターンファイル)の保存世代。現状3世代に設定されている |
| [SCANNER] | BootsektorStart=1 Memory=1 StopAllowed=1 NoNetDrv=0 ScanPriority=0 ScanAllFiles=2 ScanSkipOfflineFiles=1 ScanDiffExtension= ScanActionMode=1 BeforeActionToQuarantine=0 PrimaryActionForInfected=3 SecondaryActionForInfected=5 ScanAcousticWarning=1 ScanWaveFileName= ScanExeAfterSearch= ScanExeArgsAfterSearch= ScanArchiveScan=1 ScanArchivSmartExtensions=1 ScanArchiveCutRecursionDepth=1 ScanArchiveRecursionDepth=20 ScanArchiveExclude= ScanHeuristicMacroEnabled=1 ScanHeuristicFileEnabled=0 ScanHeuristicFile=2 ScanReportLevel=1 |
手動スキャンの設定。 |