[討論] 2017各款防毒軟體技術原理剖析 (Q&A)

看板AntiVirus (防毒)作者KotoriCute (Lovelive!)時間9年前 (2017/05/27 02:46)推噓13(13推 0噓 19→)

留言32則, 16人參與討論串1/1

在巴哈看一篇關於各家防毒軟體的技術分析文章就轉過來如果有轉載需求請記得附上以下原始網址 ※本文發佈於巴哈姆特電應板以及部落格 IT Works，轉貼請附上原文連結 https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488 -- Q：舊版的作業系統（Windows7、8）只要定期更新安全性跟 Windows 10 一樣，所以不用升級 Windows 10？ A：錯。微軟在 Windows 10 的底層安全架構上花了相當大的苦心，以近期的 WannaCrypt 來講，只要是 Win10 系統都不會因為漏洞的關係中毒才對。這並不是 Win10 強制更新的關係，就算在未補洞的情況下，也因為病毒覆蓋記憶體區段的位置在 Win10 中是不可執行的，所以 Win10 不受這次災情影響 https://i.imgur.com/lAEnI8v.png

這張圖表有點舊了，但我們可以發現，Win7 與 Win10+EMET 安全性有相當大的差距。而就在2017年微軟把 EMET 全部功能融入到新版 Win10，所以 EMET 已經正式停止研發換句話說，就算有漏洞，也因為底層安全架構的改進，Win10 相對不容易被惡意程式利用；而安全架構落後的作業系統，只能一直依靠打補丁做事後的解決另外有些人滿好笑的，看到新聞公佈 Win 10 也有 WannaCry 導致小部分的中毒而大作文章，殊不知這些數據是測試人員與使用者自己點擊樣本造成的，與漏洞完全沒有任何關係 https://www.ptt.cc/bbs/AntiVirus/M.1495429133.A.155.html 再舉一個例子，微軟在 Windows 10 中添加了一個叫 AMSI 的公用 API，可以讓所有第三方防毒軟體使用它掃描記憶體中正在執行的腳本內容（如 PowerShell、Windows 腳本宿主、JavaScript 和 JScript）。過去防毒大多只能檢測磁碟中存在的腳本，卻不能阻止記憶體中已執行的腳本，AMSI 的出現改變了遊戲規則。它甚至可以檢查 URL/IP 達到一定的網路防護效果。也就是說，在 Windows 10 中防毒軟體可以藉由 AMSI 近一步提升防護能力和檢測成績當然，Windows 10 在安全上的改進不止這些，但認真講解又可以寫一篇文章了，繁族不及備載，就先介紹到這 Q：網路流傳一篇20款防毒軟體主防測試，號稱斷網才可以測出防毒對於未知病毒的應變能力，值得參考嗎？ A：如果有認真閱讀上面的文章內容，應該知道當今多數防毒軟體都有用上雲技術，舉凡鐵殼的 Sonar、卡巴的 KSN、紅傘的 APC、咖啡的 GTI/Real Protect、甚至微軟的 WD 遇上未知都要連網向 MMPC 查詢才會殺。所以任何斷網測試，在我看來都毫無參考價值可言。而且把樣本下載到本地雙擊，並無法測試出防毒的實際防禦能力，例如 WannaCry 透過 SMB 的漏洞入侵系統，ESET 雖然第一時間無法檢測到該病毒，但其 IDS 網路防護卻可以阻斷來自 SMB 的攻擊，所以實際環境中 EIS 用戶都不會受到勒索的影響。目前比較可看出防毒實際能力的測試，應屬 AVC 的 Real-World Protection Tests，它們是把 0day樣本掛馬在網頁上，防毒在連網的情況下去瀏覽這些 Web 頁，看能不能正確攔截（攔截但誤報也會扣分） Q：勒索開始加密時要趕快斷網？ A：開始加密代表病毒已經把需要的資料上傳到黑客的伺服器，這時後斷網已經來不及了。何況斷網會讓防毒的查殺能力降低，所以千萬不要自作聰明去拔網路線 Q：PTT 網友製作 "偵測到加密自動關機”的腳本，是否能有效防範勒索病毒？ A：如果安裝系統的硬碟有重要資料，那麼千萬不要使用這個腳本。我們已經知道不少防毒會利用行為攔截未知的病毒，如果在加密的一瞬間立刻斷開，等於中斷行為檢查，原本主防可以加密後再回滾，用這個腳本反而會干擾防毒的主防運作。該腳本唯一的用途在於，除非重要文件都放在非系統碟（不是槽），自動關機後取出放資料的硬碟再重灌系統 Q：與其裝防毒拖累效能，不如中毒後再手工殺毒？ A：現代作業系統越來越複雜，不太容易完全手工清除病毒的痕跡。就算你真的有辦法刪除好了，惡意程式造成的破壞使用者也很難去修復。綁架首頁這種小毒倒還好，那些會加驅、深入內核的（典型如 Rootkit）就算把病毒移除，也已經對系統造成損害，如果不進行修復可能會出現異常（藍屏、死機等）閱讀本文後讀者應該知道，防毒軟體除了有「刪毒」的功能也有「修復」的能力，更甚者部分主防具有「回滾」可完全恢復病毒造成的破壞。所以這種麻煩事，還是交給專業的防毒處理會比較好 Q：預防勒索的輔助工具百百款，除了防毒外還需要裝哪些安全軟體呢？ A：在眾多輔防工具中，我只推薦 HitmanPro.Alert。其它號稱防勒索的工具，大多是樣本侵入主機後，再利用各種方法（例如密罐）去捕獲加密行為。然而在我看來「阻止勒索加密」其實是最後手段，它應該是防毒的工作而不是輔防的任務 HitmanPro.Alert（HMPA）不同之處在於，它其實不是專殺勒索，而是一款 Anti-Exploit （漏洞防護）軟體。從 WannaCry 的例子中可得知，會有大規模的災情是因為勒索透過 SMB 的漏洞侵入主機，如果沒有「侵入」根本不會有「加密」這些後續步驟。在實例中，具有 Anti-Exploit 功能的防毒（鐵殼 IPS、ESET IDS）確實能在第一時間阻止漏洞被利用。而 HMPA 是目前漏洞防護做得最好的輔防之一，其內置的啟發規則不亞於一線大廠的防毒模塊，也可以跟多數防毒做搭配，產生互補作用。自從 EMET 停止研發後，HMPA 就變成了輔防的首選 -- 原本還想繼續寫解析勒索的文章，但實在沒時間了。這篇文章花了一年多的時間撰寫、收集資料、閱讀各大防毒廠商釋出的白皮書、以及本人親自實測。從基礎原理開始解說，目的就是以正視聽，破除網路上各種似是而非的謠言。這年頭不學無術的造謠者太多了，真正的科普文卻很少，所以乾脆我自己來寫文，希望讀者能從這篇文章中獲益匪淺，得到一些有用的知識那是再好不過了對了，那些看到中國軟體就高潮的傢伙請不要回覆這篇文章。本文只談技術，要發沒營養的酸文請左轉場外 ※本文發佈於巴哈姆特電應板以及個人部落格 IT Works，轉貼請附上原文連結 https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.185.3 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1495824402.A.161.html

推

sismiku

05/27 03:54, , 1^F

05/27 03:54, 1^F

推

DINJIAPC

05/27 05:26, , 2^F

05/27 05:26, 2^F

→

DINJIAPC

05/27 05:27, , 3^F

05/27 05:27, 3^F