検証のガイドライン

シマンテックは、「ウイルス感染駆除対策」と「ブラウザエクスプロイト対策」の2つに分けてダイナミックテストの具体的なガイドラインを提示している。

何の脅威に対する機能を評価したいかによって、検証のポイントは大きく変わってくる。それぞれの脅威の特徴を踏まえた上で、シマンテックが推奨する検証手法を紹介する。

ウイルス駆除対策のダイナミックテスト

ここではシマンテックが推奨している「ウイルス駆除」対策のダイナミックテストの実施方法を解説する。効率的に検証を進めるために、テストでは以下のようなツールを推奨している。

  • 監視用ツール

    • Process Monitor : File and Registry部分を使い、脅威の活動の有無を観察
    • Process Explorer : 新しいプロセスと削除されたプロセスを監視
    • TCPView : ポートの監視
    • Wireshark : 受信トラフィックの監視

  • その他ツール

    • Regshot : ファイルシステムとレジストリの両方のスナップショットを作成
    • GMER : ルートキットやステルスの脅威の可能性を判定

このテスト手法であれば、1日の検証で、3~5種類のサンプルを使って2~3種類のアンチウイルス製品の検証が可能だ。5日であれば、20種類のサンプルを使って10~15種類の製品検証が可能となる。

実際の検証手順

  1. 監視ツールをそれぞれ起動する
  2. Regshotを使ってベースラインのスナップショットを作成
  3. 電子メールやWEBサイトからのダウンロードでサンプルを実行
  4. 監視ツールで変化を確認
  5. 脅威を始動させるために、ブラウザやメールソフトの起動などのアクションを起こす
  6. 監視ツールを停止してそれぞれのログを保存
  7. Regshotを使い第2のスナップショットを取る
  8. GMERを使ってシステムをチェックする
  9. 監視ツールのProcess Monitorを起動
  10. Regshotを使って第3のスナップショットを作成
  11. アンチウイルス製品が脅威を検知していない場合フルスキャンを実行
  12. フルスキャン完了後、Regshotを使って第4のスナップショットを作成
  13. システムを再起動して脅威が駆除されたかを確認
  14. Regshotのログを比較
  15. 保存したProcess Monitorのログを確認し、脅威による変更部分を特定

Regshotの設定画面

Rootkit発見時のGMER画面

一連の検証フローが終了したら、駆除の結果やファイルやレジストリに影響が出ていないかを確認する。ウイルスの検知、駆除の後にシステムが安定しているかどうかは、重要なチェックポイントとなる。