4 返信 最新の回答 日時: Jul 2, 2014 7:29 PM ユーザー:tkudo

    【TIPS】 VSE 8.x オンアクセススキャンのタイムアウトについて

    tkudo

      皆さん、こんにちは

      マカフィーテクニカルサポートセンターです。

       

       

      VSE 8.x上でオンアクセススキャンを有効にしている際に下記のようにスキャンタイムアウトイベントがログされることがあります。

      もそも スキャンタイムアウトってなんだろうと思われる方もいらっしゃるかと思いますので、本日はオンアクセススキャンとスキャンタイム

      アウトの仕組みについてお話をしたいと思います。

       

       

       

      【オンアクセススキャンとは】

      まず最初にオンアクセススキャンという機能ですが、サービス自体は起動していても、常にファイルをスキャンしているわけではないことを

      お気づきでしょうか?

       

      実はこのオンアクセススキャン、Windows上の他アプリケーションやユーザがファイル操作をした際に発生するHDDへのファイルI/O

      リガにして、下記のような流れでファイルをスキャンします。:

       

      -1.ファイルI/Oを発生させたアプリケーションやプロセスへ割り込み処理を実行する

      -2.割り込み処理の完了後、マルウェアに感染していないかのファイルチェック

      -3.マルウェアに万が一感染していた場合には設定に応じた駆除アクション実行。

        ※ファイル感染していない場合には、-4.の処理へスキップ

      -4.元のアプリケーションやプロセスへ処理を戻す。

       

       

      【スキャンタイムアウトとは】

      上記でオンアクセススキャンの概要をお話しましたが、割り込み処理からファイルをスキャンを完了させる上で、気を付けなければいけない

      のが、割り込み処理されたアプリケーションやプロセス側での動作です。 割り込み処理がされたアプリケーションやプロセスはVSEでの

      ファイルスキャン完了後に動作 を再開されることになるため、ファイルスキャン 中にアプリケーションのクラッシュやブルースクリーン(BSOD)

      発生してしまうこともあります。

       

      そこでこのようなクラッシュ問題を回避するために実装されたのがスキャンタイムアウトです。

      スキャンタイムアウトはその名の通り、一定の時間でスキャンが完了しない場合には強制的にスキャンを終了させ、処理を元のアプリケー

      ションやプロセスへ戻すことで、アプリケーションやOSをクラッシュさせないようにします。

       

      オンアクセススキャンをする上で必ずなくてはならない機構とも言えます。

       

      なおスキャンタイムアウトですが、下記のように2重の処理が実装されています。:

       

      -1.スキャンが開始されてから、45秒経過後(デフォルト値)にスキャンを終了させて、元のアプリケーションやプロセス へ処理を戻す。

      -2.何らかの原因でスキャンが終了させることができない場合には、自らオンアクセススキャンサービスを再起動して、スキャンスレッドその

         ものを解放する。

       

      ※スキャンタイムアウトに起因したオンアクセススキャンサービス再起動の際に下記のイベントが出力されるため、驚かれることがあるかも

         しれませんが、こちらは予期された動作となりますのでご安心ください。

       

       

      --- Windows Application Event log

      Event No: 787

      Event source : McLogEvent

      Generated On: Tue Mar 15 10:46:32 2011

      Event ID: 005051

      Event Type: ERROR

      Source Name: McLogEvent

      コンピュータ名: hostname

      ユーザ名: SYSTEM

      詳細: A thread in process C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe のスレッドは、要求の完了に 90000 秒以上

              かかりました。

       

      プロセスは終了します。

      スレッド ID :3832 (0xef8)

      スレッド アドレス :0x0000000077C8009A

      スレッド メッセージ :

       

      Build VSCORE.14.3.0.464 / 5400.1158

      Object being scanned = \Device\HarddiskVolume1\Program Files (x86)\Common Files\McAfee\SystemCore\mfeavfa.dll

      by System

      4(148700)(0)

      4(148700)(0)

      7200(148700)(0)

      7595(148700)(0)

      7005(148700)(0)

      7004(148700)(0)

      5006(148700)(0)

      5004(148700)(0)

       

      --- McLogEvent

      イベントの種類: エラー

      イベント ソース: McLogEvent

      イベント カテゴリ: なし

      イベント ID: 1008

      日付: 2013/08/07

      時刻: 12:04:54

      ユーザー: SYSTEM

      説明:

      McShield サービスは、予期せず終了しました。

      詳細は、イベント 5019 または 5051 を参照してください。 McShield サービスは、 5 秒後に再起動します。

       

       

      これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。

       

      以上

       

      マカフィー工藤

      Tier III Engineer, Japan

      McAfee, Inc.