Loading...

ナレッジセンター


パッカー(Packer)検出の仕組みについて
技術的な記事 ID:  KB80476
最終更新:  2014/02/13

概要

問題:

パッカーとは、実行ファイルを実行できる形式のまま圧縮(暗号化)するツールで、UPX、FSG、tElockなど様々なものがあります。
パッカーの基本的動作原理はほとんど同じで、「ターゲットとなる実行ファイルを圧縮(+暗号化)して、 プログラムの先頭に展開(+復号化)のルーチンを付加する」ものです。
この仕組みで、プログラムが実行されたら最初に展開ルーチンが実行され、本来の実行ファイルのデータをメモリ上に復元してプログラムが処理されます。
つまり、パッカーそのものはウイルスではありませんが、使い方によって、ウイルスに利用されうるものであるため、弊社のスキャンエンジンによって検知できるように設計されています。
そのためウイルスではないファイルであっても、パッカーを利用してファイルを圧縮しているファイルについてはパッカー検出を有効にしている場合検知されます。
これは正常な動作となりますのでご注意下さい。

解決策

パッカーに関する検出設定はデフォルトでは無効です。メール、Webそれぞれに対してパッカー検出を有効にすることができます。

電子メールポリシー - スキャンポリシー – ウイルス対策 – デフォルトのウイルス対策設定(SMTP) - パッカー

パッカー検出 - 検出を有効にする にチェックを入れます。
指定された名前除外する あるいは 指定された名前のみを含める を選択し、テキストエリアに除外、あるいは検知したいパッカーの名称を入力します。

Email and Web Security Appliance v5.5/v5.6 の場合は以下も設定します。

WEBポリシー - スキャンポリシー – ウイルス対策 - デフォルトのウイルス対策設定(HTTP) - パッカー

パッカー検出 - 検出を有効にする にチェックを入れます。
指定された名前除外する あるいは 指定された名前のみを含める を選択し、テキストエリアに除外、あるいは検知したいパッカーの名称を入力します。

以前のドキュメント ID

EW512120603

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

影響を受ける製品


Email & Web Security 5.6

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.