キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
tkudo
Level 10

【TIPS】 VSE攻略本 – 初級編 その①

皆さん、こんにちは
マカフィーテクニカルサポートセンターです。

皆さんはVirsScan Enterprie(VSE)/McAfee Agent(MA)のインストール後、プラットフォームの用途に合わせ、様々なご運用をされていらっしゃるかと

思います。その片方でその運用で本当にいいのか?などのお悩みを持たれているかもしれません。

今回からいくつかのパートに分けて、VSEの機能を説明していきます。
そもそもVSEって、どんなことをしているの?と疑問に持たれる方もいらっしゃるかもしれませんので、第1回目を記念して、このセクションではVSE/MAで

使用されるドライバ、プロセスやコンポーネントについての役割と動作を説明します。


プロセス

• VSE関連(ファイルやプロセスのスキャン)

McShield.exe
オンアクセススキャナプロセスです。
McShield.exeはファイルI/Oをトリガにして、そのファイルやプロセスをスキャンすることで、マルウェアからの感染をリアルタイムに防御します。

Scan32.exe
オンデマンドスキャナプロセスです。
オンアクセススキャナとは異なり、リアルタイムでのマルウェア防御はしませんが、ファイルI/Oをトリガとしませんので、オンデマンドスキャンで設定された

ファイル、フォルダやドライブなどに保存されている全てのファイルをスキャンすることができます。

Shstat.exe
VSEの統計情報とシステムトレイアイコンを制御するプロセスです。

VsTskMgr.exe
オンデマンドスキャンやアップデートなどのローカルスケジュールタスク設定をMAへ反映させるプロセスです。

engineserver.exe
主にオンデマンドスキャン、電子メールスキャンを実施する際のDATとエンジン読み込みを実行する際に使用されるコンポーネントです。
※VSE8.8ではこのコンポーネントを使用しません。

mfevtps.exe
コンピュータ上にマカフィーコンポーネントが読み込まれる際にMalwareなどによって、そのコンポーネントが改竄されていないか正常性を確認します。

mfeann.exe
VSEから出力されるイベントを生成するプロセスです
なおこのプロセスはVSE 8.7iではMcShield.exe、VSE 8.8ではVsTskMgr.exeより起動されます。

• MA関連(DATやエンジンの更新処理、スケジュール実行)

McScript.exe
リポジトリにチェックインされているDAT、エンジン、サービスパックやその他コンポーネントをアップデートするプロセスです。

McScript_InUse.exe
McScript.exeが実行される際のファイル排他処理を行うプロセスです。

UpdaterUI.exe/UdaterUI.exe
アップデートタスクやシステムトレイアイコンのユーザインターフェィスプロセスです。

FrameworkService.exe
FrameworkServiceはMA関連の本体となるプロセスです。

naPrdMgr.exe
FrameworkServiceによってローカル上にインストールされているマカフィー製品を制御するプロセスです。

Cleanup.exe
MAをインストール/アンインストールするためのクリーンアッププロセスです。

CmdAgent.exe
コマンドラインでMAを操作する際に使用するプロセスです。

FrmInst.exe
MAのインストーラープログラムです。

McTray.exe
各マカフィー製品のタスクトレイアイコンを一つに統合するプロセスです。

ドライバ

mfeapfk.sys
アクセス保護機能で使用されるドライバです。

mfeavfk.sys
オンアクセススキャン機能で使用されるドライバです。

mfebopk.sys
バッファオーバーフロー保護機能で使用されるドライバです。

mfeclnk.sys
ルートキットの駆除で使用されるドライバです。

mfeelamk.sys
MS社によってWindows 8から提供されたEarly Launch Anti-Malware(ELAM)機能に対応するドライバで、セキュアブートプロセスブート時にシステムへ

読み込まれるドライバが信頼されたドライバであるかをチェックします。

mfehidk.sys
アクセス保護機能の他にHost Intrusion Prevention(HIP)でのバッファオーバーフロー保護機能で使用される不正侵入検知リンクドライバです。

mferkdet.sys
オンデマンドスキャンでルートキットをスキャンするために使用されるドライバです。

mfetdik.sys
アクセス保護機能のポートブロッキングやWindows Vista SP1に先立ってリリースされたWindowsオペレーションシステム上のソースIPを特定する

ために使用されるTDIフィルタドライバです。

mfewfpk.sys
Windows Vista SP1以降でアクセス保護機能のポートブロッキングやソースIPを特定するために使用されるWindowsフィルタリングプラットフォーム

ドライバです。

エンジン/DAT

DATファイル(avvscan.dat, avvnames.dat, avvclean.dat)
検出定義ファイルはマルウェアシグネチャとも呼ばれ、スキャンエンジンと連携して脅威を識別して、これらの脅威に対してアクションを実行します。

スキャン エンジン(config.dat, license.dat, mcscan32.dll, messages.dat)
クライアントコンピュータ上のファイル、フォルダ、およびディスクをスキャンして、これらを DATファイル内のシグネチャ情報と照らし合わせて、マルウェアが

潜んでいないか確認します。


長々と記載してみましたが、こうして見るとVSE一つでも様々や役割のコンポーネントが存在していることがわかりますね。

なお次回はVSEに実装されている機能の役割や動作のお話をする予定です。

これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。


以上

マカフィー工藤

Tomohiro Kudo
Tier III Support Engineer, Japan
McAfee, Inc.

このメッセージは次により編集されています: tkudo on 13/08/15 5:36:29 CDT