キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
tkudo
Level 10

【TIPS】 VSE 8.x オンアクセススキャンのタイムアウトについて

皆さん、こんにちは

マカフィーテクニカルサポートセンターです。

VSE 8.x上でオンアクセススキャンを有効にしている際に下記のようにスキャンタイムアウトイベントがログされることがあります。

もそも スキャンタイムアウトってなんだろうと思われる方もいらっしゃるかと思いますので、本日はオンアクセススキャンとスキャンタイム

アウトの仕組みについてお話をしたいと思います。

【オンアクセススキャンとは】

まず最初にオンアクセススキャンという機能ですが、サービス自体は起動していても、常にファイルをスキャンしているわけではないことを

お気づきでしょうか?

実はこのオンアクセススキャン、Windows上の他アプリケーションやユーザがファイル操作をした際に発生するHDDへのファイルI/O

リガにして、下記のような流れでファイルをスキャンします。:

-1.ファイルI/Oを発生させたアプリケーションやプロセスへ割り込み処理を実行する

-2.割り込み処理の完了後、マルウェアに感染していないかのファイルチェック

-3.マルウェアに万が一感染していた場合には設定に応じた駆除アクション実行。

  ※ファイル感染していない場合には、-4.の処理へスキップ

-4.元のアプリケーションやプロセスへ処理を戻す。

【スキャンタイムアウトとは】

上記でオンアクセススキャンの概要をお話しましたが、割り込み処理からファイルをスキャンを完了させる上で、気を付けなければいけない

のが、割り込み処理されたアプリケーションやプロセス側での動作です。 割り込み処理がされたアプリケーションやプロセスはVSEでの

ファイルスキャン完了後に動作 を再開されることになるため、ファイルスキャン 中にアプリケーションのクラッシュやブルースクリーン(BSOD)

発生してしまうこともあります。

そこでこのようなクラッシュ問題を回避するために実装されたのがスキャンタイムアウトです。

スキャンタイムアウトはその名の通り、一定の時間でスキャンが完了しない場合には強制的にスキャンを終了させ、処理を元のアプリケー

ションやプロセスへ戻すことで、アプリケーションやOSをクラッシュさせないようにします。

オンアクセススキャンをする上で必ずなくてはならない機構とも言えます。

なおスキャンタイムアウトですが、下記のように2重の処理が実装されています。:

-1.スキャンが開始されてから、45秒経過後(デフォルト値)にスキャンを終了させて、元のアプリケーションやプロセス へ処理を戻す。

-2.何らかの原因でスキャンが終了させることができない場合には、自らオンアクセススキャンサービスを再起動して、スキャンスレッドその

   ものを解放する。

※スキャンタイムアウトに起因したオンアクセススキャンサービス再起動の際に下記のイベントが出力されるため、驚かれることがあるかも

   しれませんが、こちらは予期された動作となりますのでご安心ください。

--- Windows Application Event log

Event No: 787

Event source : McLogEvent

Generated On: Tue Mar 15 10:46:32 2011

Event ID: 005051

Event Type: ERROR

Source Name: McLogEvent

コンピュータ名: hostname

ユーザ名: SYSTEM

詳細: A thread in process C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe のスレッドは、要求の完了に 90000 秒以上

        かかりました。

プロセスは終了します。

スレッド ID :3832 (0xef8)

スレッド アドレス :0x0000000077C8009A

スレッド メッセージ :

Build VSCORE.14.3.0.464 / 5400.1158

Object being scanned = \Device\HarddiskVolume1\Program Files (x86)\Common Files\McAfee\SystemCore\mfeavfa.dll

by System

4(148700)(0)

4(148700)(0)

7200(148700)(0)

7595(148700)(0)

7005(148700)(0)

7004(148700)(0)

5006(148700)(0)

5004(148700)(0)

--- McLogEvent

イベントの種類: エラー

イベント ソース: McLogEvent

イベント カテゴリ: なし

イベント ID: 1008

日付: 2013/08/07

時刻: 12:04:54

ユーザー: SYSTEM

説明:

McShield サービスは、予期せず終了しました。

詳細は、イベント 5019 または 5051 を参照してください。 McShield サービスは、 5 秒後に再起動します。

これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。

以上

マカフィー工藤

Tier III Engineer, Japan

McAfee, Inc.

0 件の賞賛
4 件の返信
tomobata
Level 9

Re: 【TIPS】 VSE 8.x オンアクセススキャンのタイムアウトについて

マカフィー 工藤様、

大変、興味深いお話をありがとうございます。

1点質問があります。

スキャンタイムアウトとなった場合、そのファイルはスキャンが行われないことになってしまうように思われるのですが、もしこのファイルがウイルスに感染していた場合どうなってしまうのでしょうか?

VSEは、あまり慣れていないもので、とんちんかんな質問でしたらすいません。

よろしくお願いします。

0 件の賞賛
tkudo
Level 10

Re: 【TIPS】 VSE 8.x オンアクセススキャンのタイムアウトについて

tomobataさん、こんにちは

お問い合わせをいただきました件ですが、ウィルスを検出した場合の対実行クションとしてVSEでは"駆除"、"削除"もしくは

"ファイルアクセスの拒否"が実行されますので、スキャンタイムアウトは発生しませんので、ご安心ください。

またウィルスに感染していないファイルでスキャンタイムアウトが発生した場合でも、再度同じファイルへのファイルI/Oが

発生した際にファイルスキャンが実施されます。

これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。

以上

マカフィー工藤

Tier III Engineer, Japan

McAfee, Inc.

このメッセージは次により編集されています: tkudo on 13/08/07 21:30:02 CDT
0 件の賞賛
tomobata
Level 9

Re: 【TIPS】 VSE 8.x オンアクセススキャンのタイムアウトについて

工藤様、

早速のご返事ありがとうございました。

今後ともよろしくお願いします。

0 件の賞賛
tkudo
Level 10

Re: 【TIPS】 VSE 8.x オンアクセススキャンのタイムアウトについて

皆さん、こんにちは
マカフィーテクニカルサポートセンターです。

以前にこのディスカッションフィールドにて、VSE 8.x上で発生するスキャンタイムアウトの仕組み記載いたしましたが、

スキャンタイムアウトに関する情報を以下のナレッジへ纏めて、公開いたしましましたのでお知らせさせていただきます。

スキャン タイムアウトが発生する理由

https://kc.mcafee.com/corporate/index?page=content&id=KB55869&actp=null&viewlocale=ja_JP

これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。

以上

マカフィー工藤
ePO/MA/VSE Support Engineering Operations, Japan
McAfee, Inc