[情報] WindowsDefenderAntivirus已可在沙盒執行

看板AntiVirus (防毒)作者ss910126 (Yukino my wife)時間7年前 (2018/10/29 16:06)推噓1(1推 0噓 0→)

留言1則, 1人參與討論串1/1

微軟Windows Defender Antivirus成為第一個能在沙盒中運行的防毒產品微軟上周宣佈，其防毒軟體Windows Defender Antivirus已經可在沙盒中執行，成為第一個具備此類能力的防毒軟體。微軟並準備釋出給Windows Insider方案的開發或研究人員。將Windows Defender Antivirus成功置於沙盒中執行可防止沙盒應用被入侵，將惡意程式隔離在孤立環境中，確保系統其他部份不受影響。微軟說明開發能讓Windows Defender Antivirus在沙盒中執行的原因在於，除了微軟持續強化Windows 10整體對攻擊的防禦能力外，微軟內、外部研究人員已發現Windows Defender Antivirus內容分析器（content parser）的漏洞可用來執行任意程式碼執行。雖然沒有看到Defender Antivirus漏洞的入侵行為，但也激起該公司強化產品能力的想法。這家軟體巨人指出，將Windows Defender Antivirus置於程序執行受限環境下，是聽取安全業界及研究界意見的結果。這是一件很困難的挑戰，因為他們必須考慮對效能和功能性的影響、找出高風險區域，並確保這類沙盒技術不會影響產品原有的安全性等。微軟解釋為此對Windows Defender Antivirus做了哪些調整。首先，現代安全軟體需要掃瞄各種對象，包括磁碟、記憶體中的資料串，以及即時行為事件等。而沙盒化的最重要功能之一需要將Windows Defender Antivirus掃瞄能力分層（layering）以完整權限執行，而且可於沙盒中執行的元件。將這些元件沙盒化執行的目的是可涵括高風險任務，例如掃瞄不受信賴的輸入指令、擴大的容器等，此外也需要將兩個分層間的互動減少至最小以避免大幅損及效能，而只在對效能要求較低時執行這些互動。 Defender Antivirus也儘量做協調作業以避免產生不必要的I/O、減少資料讀取，以確保受檢查檔案維持良好效能，尤其是在老舊硬體上。此外，微軟也藉由限制可被處理的同時呼叫，以減少程序間通訊（inter-process communication）、引發死結（deadlock）或優先權顛倒（priority inversion）等效能瓶頸，並以低權限的Appcontainer實作沙盒，防止不預期的程序被驅動。其他還需考量逐步部署及可使用資源的問題，還要賦予 Windows Defender Antivirus高度權限，使它有能力及時緩解事件、或復原被感染的元件。微軟準備逐步將Windows Defender Antivirus釋出給加入Windows Insider方案的開發或研究人員。目前僅Windows 10的1703版本以上支援這項新功能。使用者可以藉由設定環境變項（setx /M MP_FORCE_USE_SANDBOX 1）後重新開機，一旦沙盒功能啟動，使用者即會在Windows Defender Antivirus中看到MsMpEngCP.exe的內容程序。來源:https://www.ithome.com.tw/news/126679 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 218.166.24.20 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1540800399.A.1F3.html