0 返信 最新の回答 日時: Aug 15, 2013 5:36 AM ユーザー:tkudo

    【TIPS】 VSE攻略本 – 初級編 その①

    tkudo

      皆さん、こんにちは
      マカフィーテクニカルサポートセンターです。

      皆さんはVirsScan Enterprie(VSE)/McAfee Agent(MA)のインストール後、プラットフォームの用途に合わせ、様々なご運用をされていらっしゃるかと

      思います。その片方でその運用で本当にいいのか?などのお悩みを持たれているかもしれません。

       

      今回からいくつかのパートに分けて、VSEの機能を説明していきます。
      そもそもVSEって、どんなことをしているの?と疑問に持たれる方もいらっしゃるかもしれませんので、第1回目を記念して、このセクションではVSE/MAで

      使用されるドライバ、プロセスやコンポーネントについての役割と動作を説明します。

       


      プロセス

      • VSE関連(ファイルやプロセスのスキャン)

       

      McShield.exe
      オンアクセススキャナプロセスです。
      McShield.exeはファイルI/Oをトリガにして、そのファイルやプロセスをスキャンすることで、マルウェアからの感染をリアルタイムに防御します。

       

      Scan32.exe
      オンデマンドスキャナプロセスです。
      オンアクセススキャナとは異なり、リアルタイムでのマルウェア防御はしませんが、ファイルI/Oをトリガとしませんので、オンデマンドスキャンで設定された

      ファイル、フォルダやドライブなどに保存されている全てのファイルをスキャンすることができます。

       

      Shstat.exe
      VSEの統計情報とシステムトレイアイコンを制御するプロセスです。

       

      VsTskMgr.exe
      オンデマンドスキャンやアップデートなどのローカルスケジュールタスク設定をMAへ反映させるプロセスです。

       

      engineserver.exe
      主にオンデマンドスキャン、電子メールスキャンを実施する際のDATとエンジン読み込みを実行する際に使用されるコンポーネントです。
      ※VSE8.8ではこのコンポーネントを使用しません。

       

      mfevtps.exe
      コンピュータ上にマカフィーコンポーネントが読み込まれる際にMalwareなどによって、そのコンポーネントが改竄されていないか正常性を確認します。

       

      mfeann.exe
      VSEから出力されるイベントを生成するプロセスです
      なおこのプロセスはVSE 8.7iではMcShield.exe、VSE 8.8ではVsTskMgr.exeより起動されます。

       

       

      • MA関連(DATやエンジンの更新処理、スケジュール実行)

       

      McScript.exe
      リポジトリにチェックインされているDAT、エンジン、サービスパックやその他コンポーネントをアップデートするプロセスです。

       

      McScript_InUse.exe
      McScript.exeが実行される際のファイル排他処理を行うプロセスです。

       

      UpdaterUI.exe/UdaterUI.exe
      アップデートタスクやシステムトレイアイコンのユーザインターフェィスプロセスです。

       

      FrameworkService.exe
      FrameworkServiceはMA関連の本体となるプロセスです。

       

      naPrdMgr.exe
      FrameworkServiceによってローカル上にインストールされているマカフィー製品を制御するプロセスです。

       

      Cleanup.exe
      MAをインストール/アンインストールするためのクリーンアッププロセスです。

       

      CmdAgent.exe
      コマンドラインでMAを操作する際に使用するプロセスです。

       

      FrmInst.exe
      MAのインストーラープログラムです。

       

      McTray.exe
      各マカフィー製品のタスクトレイアイコンを一つに統合するプロセスです。

       

       

      ドライバ

      mfeapfk.sys
      アクセス保護機能で使用されるドライバです。

       

      mfeavfk.sys
      オンアクセススキャン機能で使用されるドライバです。

       

      mfebopk.sys
      バッファオーバーフロー保護機能で使用されるドライバです。

       

      mfeclnk.sys
      ルートキットの駆除で使用されるドライバです。

       

      mfeelamk.sys
      MS社によってWindows 8から提供されたEarly Launch Anti-Malware(ELAM)機能に対応するドライバで、セキュアブートプロセスブート時にシステムへ

      読み込まれるドライバが信頼されたドライバであるかをチェックします。

       

      mfehidk.sys
      アクセス保護機能の他にHost Intrusion Prevention(HIP)でのバッファオーバーフロー保護機能で使用される不正侵入検知リンクドライバです。

       

      mferkdet.sys
      オンデマンドスキャンでルートキットをスキャンするために使用されるドライバです。

       

      mfetdik.sys
      アクセス保護機能のポートブロッキングやWindows Vista SP1に先立ってリリースされたWindowsオペレーションシステム上のソースIPを特定する

      ために使用されるTDIフィルタドライバです。

       

      mfewfpk.sys
      Windows Vista SP1以降でアクセス保護機能のポートブロッキングやソースIPを特定するために使用されるWindowsフィルタリングプラットフォーム

      ドライバです。

       

       

      エンジン/DAT

       

      DATファイル(avvscan.dat, avvnames.dat, avvclean.dat)
      検出定義ファイルはマルウェアシグネチャとも呼ばれ、スキャンエンジンと連携して脅威を識別して、これらの脅威に対してアクションを実行します。

       

      スキャン エンジン(config.dat, license.dat, mcscan32.dll, messages.dat)
      クライアントコンピュータ上のファイル、フォルダ、およびディスクをスキャンして、これらを DATファイル内のシグネチャ情報と照らし合わせて、マルウェアが

      潜んでいないか確認します。


      長々と記載してみましたが、こうして見るとVSE一つでも様々や役割のコンポーネントが存在していることがわかりますね。

      なお次回はVSEに実装されている機能の役割や動作のお話をする予定です。

       

      これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。


      以上

       

      マカフィー工藤

      Tomohiro Kudo
      Tier III Support Engineer, Japan
      McAfee, Inc.

       

      このメッセージは次により編集されています: tkudo on 13/08/15 5:36:29 CDT