ウイルス対策の仕組み
メーカによって異なり、考え方も明確に定義されていないが、おおむね以下だと考えている。

パターンマッチング
 シグネチャによるパターンマッチングだ。しかし、これだとパターンが少しちがっただけでも検知できない。
詳しくは以下を参照ください。
http://sc.seeeko.com/archives/3844591.html

ヒューリスティック分析
 ファイルの中で、ウイルスの特徴的な動作をしそうな部分を抜きだし、その部分におかしな動きをするものがないかを確認する。
929c854c

いわゆる動的解析ですね




いや、抜き出した部分をシグネチャベースでチェックするので、静的と言われることが多い。(このあたりは価値観というか、メーカの見解にもよってわかれる)。そして、機能としてはパターンマッチングの機能の一部と考えられることもある。
詳しくは別途書く予定。


振る舞い検知(ビヘイビア法)
 動的な検知方法である。検体の動きを見るのだ。異常な通信量やリソースを食っていないかなどを判断する。動的ヒューリスティックと呼ばれることもある。
 ただ、誤検知が多いことも事実だ。よって、多くの人は、この機能をOFFにしているのではないかと思う。
コンピュータウイルス対策r
以下のIPAの資料も参考になる。
http://www.ipa.go.jp/security/fy15/reports/uvd/documents/uvd_report.pdf

静的解析と動的解析
上記「パターンマッチング」と「ヒューリスティック分析」が静的解析、「振る舞い検知(ビヘイビア法)」が動的解析になる。
上記のIPAの資料を参考に、検出のタイミングを整理すると
・検出のタイミングは「ウイルス実行前」で、静的解析である。
・検出のタイミングは「ウイルス実行中」で動的解析である。

ウイルスチェックのサイト
話は変わるが、ファイルにウイルスが無いかをチェックしてくれるサイトがある。たしか、Google社が買収し、今はGoogleのサービスだと思う。
https://www.virustotal.com/ja/
これにより、50以上のウイルス会社によるチェックが行われる。
具体的には、このサイトに検体をUPすると、それが各ウイルス対策メーカに送られ、その結果をvirustotalが受け取って結果を返しているようだ。Virustotalが自ら検査をしているわけではない様子。

一方、同じようなサービスの攻撃者用のサイトもある。
以下だ。目的は違って、攻撃者が作成したファイルが、ウイルスチェックにひっかからないかを確認するものだ。
http://www.virtest.com/
費用であるが、1日30ドルとかそれくらいだと思う。攻撃者にとっては安いものかもしれない。