Anti-Virus SoftwareはFileのどの部分をCheckしているの？

そもそも、アンチウィルスソフトウェアはファイルのどの部分をチェックしているのだろうか？という疑問があります。リアルタイムスキャンとフルスキャンでも、チェックしているファイルの部分と項目は異なるかもしれません。アンチウィルスソフトウェアを開発・リリースしているメーカーは、数回／日アップデートしていると想像されます。

--ChatGPTと会話から下記の文章は参考までに-- 
※あくまでも一般的な話です。

アンチウィルスソフトウェアがファイルをチェックする際には、以下の部分に注目しています：

1. シグネチャベースの検出：

   • ファイル内の特定のパターンやバイトシーケンス（シグネチャ）を照合します。これにより、既知のマルウェアを識別します。

2. ハッシュ値：

   • ファイルのハッシュ値を計算し、既知のマルウェアのハッシュデータベースと比較します。

3. ファイルヘッダーとメタデータ：

   • ファイルの形式や構造を示すヘッダー情報を解析します。不正な形式や異常なメタデータを検出します。

4. コードの解析：

   • ファイル内のコードを解析し、不正な動作を示す命令やシーケンスを特定します。

5. ヒューリスティック分析：

   • ファイルの動作や特性を基に、未知のマルウェアを推測します。これは、異常な動作パターンやコード構造の解析を含みます。

6. 動的解析（サンドボックス）：

   • ファイルを隔離環境で実行し、その動作を観察します。異常な振る舞いを検出することで、マルウェアを特定します。

7. ネットワーク活動：

   • ファイルがネットワークを通じて行う通信を監視し、不正な活動や不審な接続先を特定します。

8. マクロやスクリプトの解析：

   • ドキュメントファイルに埋め込まれたマクロやスクリプトを解析し、不正なコードを検出します。

9. 圧縮ファイルとアーカイブ：

   • ZIPやRARなどの圧縮ファイルを解凍し、中に含まれるファイルをチェックします。

これらの方法を組み合わせて、アンチウィルスソフトウェアは既知および未知のマルウェアを効率的に検出・ブロックします。アンチウィルスソフトウェアがすべての項目を常にチェックしているわけではありません。一般的には、以下のような状況や設定によってチェックの範囲が変わります：

1. リアルタイムスキャン：

   • リアルタイムスキャンでは、ファイルがシステムにアクセスされた瞬間にチェックが行われます。この場合、シグネチャベースの検出やヒューリスティック分析が主に使用されます。

2. フルスキャン：

   • システム全体をスキャンする際には、より詳細なチェックが行われます。シグネチャ、ハッシュ値、ヘッダー情報、コード解析、動的解析など、可能な限り多くの方法を使って徹底的に検査します。

3. オンデマンドスキャン：

   • ユーザーが特定のファイルやフォルダを指定してスキャンする場合、指定された範囲内で必要なチェックが行われます。これもフルスキャン同様に詳細な検査が行われることが多いです。

4. カスタム設定：

   • ユーザーや管理者がスキャン設定をカスタマイズできる場合があります。この場合、どのチェック項目を使用するか、どの程度の詳細さでチェックするかが調整可能です。

5. パフォーマンス最適化：

   • パフォーマンスへの影響を最小限にするために、リアルタイムスキャンでは全てのチェックを行わず、重要度の高いチェックに絞ることがあります。例えば、頻繁にアクセスされるファイルやシステムの重要ファイルについては詳細なスキャンを行い、それ以外は簡易的なチェックに留めることがあります。

6. サンドボックス解析：

   • 通常、リアルタイムスキャンでは時間がかかるサンドボックス解析は行わず、疑わしいファイルが検出された場合にのみサンドボックスでの解析が行われます。

したがって、アンチウィルスソフトウェアは状況に応じて最適な方法を選択してチェックを行い、システムのパフォーマンスとセキュリティのバランスを保つように設計されています。