在巴哈看一篇关於各家防毒软体的技术分析文章就转过来 如果有转载需求请记得附上以下原始网址 ※本文发布於巴哈姆特电应板以及部落格 IT Works，转贴请附上原文连结 https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488 -- 到这边相信读者已经对主防原理有初步认识，下面将介绍各家防毒的看家本领，并打上我 个人的主观分数，数字越高代表防范勒索效果越好；评分大家参考就好，原理和技术内容 会用客观角度做介绍 https://i.imgur.com/Z8lOLs5.jpg Comodo（98分）：Comodo 一向以防护为重，查杀为辅。防毒大致分为几个区块 AntiVirus、Firewall、HIPS、Sandbox、Viruscope https://i.imgur.com/sklE4wA.png 以前 CIS 只有 AntiVirus、Firewall、HIPS 三个区块，文件执行前扫毒先做初步 hash 检查，执行後 HIPS 判断要不要对个别行为排除。防火墙预设阻挡所有连入，连出也是由 用户决定是否放行 这几年 Comodo 为了让防毒用起来更傻瓜，加入了 Sandbox、Viruscope 这两个功能，并 预设关闭 HIPS。现在的防护思路变成：第一步一样由 AntiVirus 做判断，并连接到云信 誉库，白名单文件放行，没检测到病毒又不在白名单里的文件自动入沙；Viruscope 再对 沙盒里的档案进行行为分析，判断为有害立即清除 这样做的好处是，不用再操作繁锁的 HIPS 规则，只要不破沙， Comodo 的防护基本上天 下无敌；Viruscope 只针对沙盒做检测就是 BB，对所有程序检测相当於主防的存在 https://i.imgur.com/xr6BkCQ.png 设定上大约注意几个地方 由於 Comodo 扫毒相当感人，建议在即时扫描开启 "启发式扫描”稍微提升一点检测能力 ，若担心误报可以只开「低」层级启发 https://i.imgur.com/BAoH5Le.png https://i.imgur.com/wUnjyIC.png https://i.imgur.com/RoGlJyw.png https://i.imgur.com/1MaVL4m.png https://i.imgur.com/1V9tJN9.png https://i.imgur.com/6R7Rzp2.png 我们来看一下 Internet Security 组态的虚拟化规则。Comodo 预设着重在入口防护，这 点跟 McAfee 企业版一模一样 「封锁」「所有应用程式」「恶意」意思就是若应用程式在信誉库里的黑名单，则直接阻 止执行 「封锁」「可疑位置」「任意」意即可疑路径中的程式，封锁执行 「封锁」「Containment 资料夹」「任意」在沙盒自行启动的程式，封锁执行 「虚拟化执行」「所有应用程式」「无法识别」「少於三天」在任意位置无法识别的档案 （评价未知），且在电脑中存放少於三天，执行时入沙 「虚拟化执行」「所有应用程式」「内部网路、卸除式媒体、网际网路」「无法识别」来 自内网、外网以及外接装置（如随身碟）的未知档案，执行时入沙 「虚拟化执行」「所有应用程式」「网页浏览器、电子邮件....」「无法识别」针对以上 应用程式建立的档案（例如网页浏览器下载的文件、压缩程式解压出的档案）评价为未知 时，执行入沙 「虚拟化执行」「共用空间」「无法识别」於共用空间的档案为未知时，执行入沙 什麽是入口防护？就是把恶意程式可能来源的入口做预防性封锁（Comodo 则是入沙）， 至於电脑里存放高於3天的档案，代表使用者自行把档案拖放到本地里，用过没问题才会 留着，所以没必要再入沙，信任的文件再入沙只是平白增添麻烦 https://i.imgur.com/HcPBPXR.png https://i.imgur.com/LjMWK7r.png https://i.imgur.com/HwG9vzK.png 最激进的 Proactive Security 组态也依然有四条规则，除了高风险路径和评价阻止执行 ，其它未知程式则一率入沙 其中的差别在於，预设的 IS 规则注重入口防御，已存在本地的档案默认信任；PS 则不 具有方向性，只要无法识别一率入沙 建议一般人用预设的 IS 组态就可以了，原因请参考咖啡介绍中我对其 FD 规则的心得。 若说利用 FD 作全局禁运（Files limited）是 "万物拦”，那麽不具方向的全局入沙就 是 "万物沙”了。大致上来说这种作法有两大缺点：1.不够便利、白白增加排除量；2.不 够智慧，容易排除失误。一个好的规则应该在最少限制下达到最高安全性，这点来说 Comodo 预设的 IS 对一般人来说才是最好的配置 曾经有天才自作聪明教人把预设的沙盒规则全部删除，当下看了快吐血...... https://i.imgur.com/0W49MMo.png Viruscope 是 Comodo 新增的主防技术，但效果很鸡助，所以预设只监控沙箱中的行为当 作辅助判断 https://i.imgur.com/HXrJRe8.png 实测中 Comodo 几乎没有任何网页防护能力，这个也是没啥用的东西 此外 Comodo 对於注入防护较弱，曾经有网页挂马利用漏洞绕过沙箱注入系统，建议搭配 HMPA、EMET 等 Anti Exploit 软体；虽然有回滚能力，但回滚常失败；病毒查杀能力在 各家防毒垫底，比微软的 WD 还糟；不少程式在沙盒内功能不正常，连带行为侦测跟着失 效，仍然需要使用者自己判断放行 有些高手会开启 HIPS 藉由手动放行增加安全性，但它的 HIPS 并不是毫无疏漏的铜墙铁 壁。首先从3版开始就有漏规则的老毛病；另外 FD 对 DLL 的加载比较不敏感，因为 Comodo 默认信任白名单内的数字签名，如果恶意程式利用白加黑（白 exe 加载黑 dll ），不管是沙盒或是 HIPS 几乎无法防御。现阶段白加黑有效的预防方法是特徵码拉黑， 但 Comodo 的病毒检测根本是悲剧.... https://www.youtube.com/watch?v=Rf9FwVwywM0 利用数字签名白加黑过沙箱 以一款防毒来讲，我会给 Comodo 不及格的分数，但如果单纯当它是需要使用者自行操作 判断的安全工具，毫无疑问 Comodo 对勒索的防护力接近100%。推荐给不怕麻烦，对系统 有一定了解的人使用 https://www.youtube.com/watch?v=UwBZxi2oLNg Comodo v.s Ransomware https://i.imgur.com/J25AyNT.png Bitdefender（95分）：BD 和 Comodo 可以说是两个极端，Comodo 需要用户自 案是否放行；而 BD 主打人工智慧，安装 BD 後不需要任何操作，平常相当安静，你几乎 感受不到它的存在，对於病毒的检测率相当精准，很少有误判的情况发生，基本上可以交 给防毒自动化作业 https://i.imgur.com/R3xVL06.png https://i.imgur.com/8pbLFAf.png 企业版选项少得可怜，还不能调整防护级别 跟大多数防毒一样，文件被下载到电脑後会先经过特徵库和启发式的检测，BD 的 B-HAVE 引擎会分别进行静态和动态启发扫描，而动态启发会把程序於虚拟环境中执行， 观察是否有可疑行为，如果是恶意程式将被阻止。整个过程只有短短数十毫秒，所以不影 响用户的实际体验。为了提高扫描效率，如果为云端中的白名单应用，BD 将只进行轻度 的启发检测，进一步降低误报；而特徵库和启发都无法分析的未知文件，将於三秒内自动 提取特徵到云端分析 尽管动态启发增加了安全性，但它有一些缺点。首先虚拟环境中延迟时间过短，可以被简 单规避（见动态启发一栏）；其次，被检查过的其他安全程式也可能被利用，执行时被恶 意软体注入修改 为了克服这些缺点，不得不提 BD 主防技术，在2016年之前的版本，BD 的主防分为两块 ，分别是 IDS 和 AVC IDS 会侦测重要系统档案，例如登录项目、驱动程式安装、以及注入程式码（DLL）的攻 击行为，是一种类 HIPS 功能 AVC 则是利用启发法对电脑进行监控，它会对所有执行中的程序进行打分，当程式的分数 达到临界值时，就会被视为有害物件并中止程式。例如：程式终止时没有显示用户介面， 正常的程式停止时会问你要不要退出；擅自复制或移动到系统文件资料夹；对其它程序执 行代码...以上都会被列入加分项目。2015年时，BD 主防拥有高达300条的启发规则 到了2017年的版本，AVC 改名为 ATC，而 IDS 被整并到 ATC 中，ATC 不需要连网是完全 的本地 AI 主防（没有云连动）。整个防御流程分为以下四步骤： https://i.imgur.com/f40WQqB.png 通过 ATC 恶意软体的延迟启动得以被检测，它并不会基於单一行为就将程式视为威胁， 因为正常应用也有可能触发可疑行为（例如增加启动项目）；作为代替，它将持续地进行 评分，当达到特定阈值才会将某一个程式识为威胁 https://i.imgur.com/qAc2G2e.png BD 整体的防护流程包含四个步骤，若病毒在第一步被拦截就不会进入到下一个环节 ．入口防护，使用流量扫描（含 Web、Email、IM） ．到达本地的文件将 hash 核对签名数据库 ．如果没有签名匹配，会使用 B-HAVE 引擎进行启发检测 ．主防监控程式的行为，当分数达到阈值立刻阻止执行 https://i.imgur.com/wFkBUqM.png 网页防护实例 虽然 BD 本身有其它模块，像是扫毒引擎、Web 防护、防火墙，但整套防毒真正的精华说 是 ATC 单独一个模块一点都不过份。ATC 因为用独特的打分方式造就了超强的0day拦截 率，加上本身就不错的扫毒引擎（启发和 PUP 检测都很不错），让它的整体防护能力达 到非常高的水准 最新的 BD Free 已经包含了 ATC 主防，免费版与付费版差在免费版 ATC 强度只能调 " 中"，以及少了个人化的自定义选项和防火墙，除此之外几乎毫无差别。个人私心认为 BD 是目前最好的防毒软体 当然它还是有些小缺点，因为主防有别於其他家防毒用启发规则做监控（像诺顿和 AVG 只要触发规则就会被拦阻，所以启发定义较严谨），而是用打分方式所以不会记录恶意软 体的行为，导致它无法回滚，算是遗珠之憾 这边简略说明规则式和评分制主防的差异 规则式：是指程式触发了主防的规则行为，一般触发数条就会被判定为病毒。? 身到 Windows 目录、修改注册表、添加启动项、禁止工作管理员等等。若没有触发规则 或者触发不到一定数量，就不会被拦截 为了方便理解，这边举一个例子 假设一个病毒会格式化整颗硬碟，造成无法开机、资料损毁。其行为顺序为：加载资料到 记忆体虚拟地址空间 → 载入内核驱动 → 将 CPU 由保护模式切换为内核模式 → 改写 底层寄存器→进行底层 I/O 操作（格式化硬碟） 而正好启发特徵库中有一条名为 Heur.DiskWiper.1 的定义，执行上述的病毒则主防会 拦截第一步行为 → 记录并比对 → 放行 → 拦截第二步行为 → 记录并比对 → 放行… …拦截第五步行为 → 记录，符合 Heur.DiskWiper.1 → 终止程式执行 就算加入无关行为，或者改变操作顺序，只要符合启发定义都会被终止，所以主防对未知 和变种病毒效果很好（有些关键的顺序不会改变，譬如上面这一套行为，就被称作底层磁 碟访问的元操作，无法更改顺序；实务上可能也需触发数条启发定义才会被终止） 评分制：根据陌生程式的行为来扣分。譬如添加启动项扣5分、修改系统文件扣 到一定的分数就会被主防击杀。评分制估值函数相当复杂，同一行为在不同情况下的分值 有不同，重复的同一行为也不会导致分数的线性增加 https://i.imgur.com/GkFE9ci.png Kaspersky（90分）：台湾贩卖的卡巴斯基分为 KAV 和 KIS 两个版本。KAV 带 病毒、即时通讯防护、Web 防护、邮件反病毒以及 System Watcher 主防；KIS 在以此基 础加上防火墙和应用程式控制（HIPS）。如果可以的话，建议购买 KIS 才有最完整的防 御体系 https://i.imgur.com/AQ4PQPm.png 反病毒& KSN https://i.imgur.com/TIl51Rg.png https://i.imgur.com/hVgrRbw.png 不管任何一个版本的卡巴，都带有云端检测 KSN，我认为 KSN 才是 Antivirus 模块的精 华所在；所有的云都会靠 MD5、Hash 来判断档案的安全性，这就是所谓的云拉黑，MD5 是一个快速判断档案的好方法，但对於卡巴来说不是唯一方法。首次执行程式会先进入 KSN 进行云数据库匹配，白 Hash 直接放入信任组，黑名单报 DangerousObject；而未 知应用自动分析安全的话放入限制组（需搭配 HIPS 模块），符合云危险模型报 DangerousPattern 也就是除了本地启发外，KSN 自己有一套行为分析的检测机制，当然触发这个条件必须双 击应用。在云加本地的双重检测下，卡巴对於未知病毒有很好的拦截率；但也因为倚赖云 信誉的关系，卡巴对於破解软体基本不杀，不管这个 Patch 本身有没有毒都一样，常用 破解的请自己多加小心；PUP、流氓卡巴也不杀，请自己在安装程式时养成良好习惯看清 楚，不过 PUP 可以透过 HIPS（需打开交互模式）来限制 KSN 是卡巴云安全技术的简称，它包含多种技术，而且与各种组件互相结合。例如判断文 件会从数字签名、hash 做初步扫描（云拉黑）；也会查询全球的统计资讯，封锁评分过 低的对象（云信誉）；若都没有结果，再将数据提交到云端运算中心，经过行为分析检查 後反馈回用户（云启发，原理详见 360 QVM 的说明）。钓鱼网页、垃圾邮件同样会查询 KSN 的特徵库、信誉资料，甚至在云端对未知的 URL 做启发判断，垃圾邮件则是利用专 门的 UDS 技术筛选分类邮件。整个流程如下： https://i.imgur.com/hdERwG1.png 系统监控（主防）System Watcher 主防 SW 说实在检测率一般，它不像 Sonar 用启发通杀一切，而是先记录程式行为，再 通过本地和云病毒库匹配恶意软体，这样的好处是误杀低，对系统有重大危害的才会拦截 回滚，但低威胁基本不报；也因为主防与其它模块连动性高，所以回滚成功率也高，例如 断网後执行了云杀但本地不杀的样本，联网後 SW 依然可以清除威胁并回滚，包括你关掉 监控，单测主防 SW 也可以与 KSN 连动。所以卡巴的各个组件都会相互交流，使得综合 防护能力大幅提升 https://i.imgur.com/Ftt00Dn.jpg 网页防护 https://i.imgur.com/1utrJ5k.png Web 防护共有三套检测机制，分别是： ．通过本地的数据库匹配 URL 拦截 ．连接 KSN 的数据拦截恶意网站 ．启发式检测，即使网站不在数据库里 https://i.imgur.com/GYFuovi.png https://i.imgur.com/WdeT4yP.png https://i.imgur.com/ZlkJQJV.png 用不同的方式检测网站 云端的数据库会定期更新 URL 的信息，并将之发送到用户端；但云数据库也可以提供实 时保护，当一台安装卡巴斯基的电脑上发现恶意网站的时候，会立刻反馈回云端，整个过 程不到30秒，全世界安装卡巴的电脑就可以同时检测到这个新网站。然而，当数据库没有 网站相关讯息时，启发技术就显得尤其重要 整个流程如下： https://i.imgur.com/BUl80PF.png 启发检测是防恶意网站的最後一道防线，即使网页不在数据库里，这个模块也有判断网站 的能力，卡巴内部的统计显示50%的恶意网站是由启发模块识别阻止 启发模块会检查网站的特徵，再将它们和域名、使用的网站框架、加密方式等综合考量， 根据一些间接的证据判断是否为恶意网站。例如跨站脚本攻击（XSS）、外部脚本代码攻 击等，它甚至可以检查网站上的图片是否为钓鱼内容 HIPS & Trusted Applications https://i.imgur.com/zapjIIP.png https://i.imgur.com/oYSsAWE.png 卡巴的 HIPS 是透过 KSN 自动分配权限，通过云信誉调整分组，默认情况下只需将「信 任数字签名的应用」这项取消，其他 KSN 都会帮我们处理；当然你也可以自己制订规则 ，例如收紧信任组的权限，将访问其它程序的注入由「允许」改成「询问」，这样每次出 现注入行为都会弹窗问你要不要放行 善用 HIPS 可以达成一般防毒没办法做到的事，像是启用默认拒绝（不在白名单内的软体 一律阻止）来达到对勒索的防护。非白即黑模式在一般消费端的防毒相对罕见，原因在於 白名单必须囊括电脑上常见的应用程式；而对於企业来说，编辑受信任的名单并不是很难 的事，因为员工们为了完成工作需要的软体相对较少，很少改变 对於普通用户来说，他们每天可能安装大量的新程式，这是个关键问题。因为一旦白名单 没有相关程式就无法执行。换句话说，即使默认拒绝能够提供极高等级的保护，但怎样面 对不断出现的新程式？怎样在不给用户带来麻烦的前提依然不减防护能力？ 卡巴斯基的”Trusted Applications”包含三个组件，构建於 HIPS 和 KSN 之下 ．动态更新的程式白名单，基於 KSN ．一套完整的机制来确认每个应用程式的信任状态，包含判定程式是否可以信任“继承” 的规则（下文会解释），不断更新安全证书和受信任的域名的名单 ．单独控制应用程式的系统，基於 HIPS https://i.imgur.com/raGmi4c.png 动态白名单基於 KSN 的文件信息库，约有10亿个程式，包含常见的各类软体，而且这个 数据库还在不断更新完善。有近500家的软体公司与卡巴斯基合作，开发者更新软体包或 者发行新软体时，KSN 可以在第一时间获得资讯。虽然 KSN 拥有庞大的软体数据库，但 白名单还是有可能忽略了少量的正常程式，这也是为什麽要有两个额外的机制来检测程式 ：对应用程式信任“继承”的判断；针对受信任域名和证书的检查 许多程式在操作中会创建其他新的程式，这些新程式可能不在卡巴斯基的数据库里。例如 ，为了下载更新，必须启动一个特定的模块，将会连接到软体提供商的伺服器并下载新版 本。更新程式是由原始程式创建的新程式，在白名单数据库里可能没有相关资料。然而， 如果程式被受信任的程式创建并启动，它会被认为是可信的，这就是“继承”规则 https://i.imgur.com/6peUKlS.png 受信任的程式 透过更新模块下载的新版本程式，可能也和卡巴斯基白名单里的数据不一样。然而，可以 藉由别的特徵判断程式的可信度，譬如检查数字签名是否正确 许多软体开发者会用一个独一无二的数字签名来签名他们开发的程式，防止未经授权的修 改，一旦档案被第三方修改，数字签名会损坏。卡巴斯基分析这些签名，判定它们的可靠 性，并且维护一个不断更新的数据库。如果新版本的程式签名被判断为可信任，就会被加 入白名单。反之签名被破坏的情况下，即使系统认为是可信的，也会立刻从数据库中删除 这个签名（指破坏的签名） 然而，档案没有签名也很常见，所以还有其它判断方法：搜索档案下载的地址是否在受信 任的站点数据库。如果域名在受信任站点列表里（大多数情况下，都是知名软体提供商的 域名），下载的对象就会被认为是可信的 受信任的软体商的域名被认为是安全的，下载的档案不会被认为是病毒。但是，一旦这些 网站分发恶意程式，它会立刻从受信任站点列表里删除 因此，白名单配合其他验证工具，提供了一个高度容错机制，让一般使用者也可以在不失 易用性的情况下享有传统 HIPS 的防护强度 漏洞防护 Automatic Exploit Prevention 卡巴斯基有多个防护层。第一层是 Web 防护，网页的木马在第一层就被挡下；若病毒不 幸被下载到本地，会被特徵码和启发检测到；如果档案资料没有被收入在本地病毒库，还 会连上 KSN 查询；再下一层是主动防御模块，分析程式的行为，若有可疑活动立刻阻止 然而对於利用程式漏洞的攻击行为，一般的防护模块无法有效遏止，例如在 Adobe Flash 、Adobe Reader、Java、Browser 甚至 Windows 组件中植入恶意代码。因此卡巴斯基有 专门针对漏洞的防护层，叫做 Automatic Exploit Prevention，对於检测已知或未知漏 洞很有效 AEP 有数种预防漏洞的方式，首先它有检测漏洞专用的签名，会在打开文件时（例如 Word 档）提前检测，符合签名中的行为定义就会阻止。签名又分成两种，一种是已知漏 洞签名，另一种是潜在漏洞利用签名，对於未知漏洞有几种分析的手段： ．对於一些常被利用的软体，例如 Adobe Flash、Adobe Reader、Java、Office 等等， 再被其它程式加载前都会另行检查。不过“可疑”不代表“确定”，譬如 Adobe Reader 可能启动另一个执行档进行更新。但是经过分析执行文件的特徵，以及之前的行为可以分 析出文件是否恶意 ．卡巴斯基有一套”Security Corridor”定义软体的行为模型，例如 Word 主要是处理 文档，浏览器的功能是下载文件、浏览网页内容。而恶意程式通常利用漏洞让程式执行未 登记的行为，像修改系统文件、向程序注入代码、安装驱动等等。透过”Sexurity Corridor”可以限制软体的范围功能，即使它被卡巴斯基标住为可信任、有合法的数字签 名也一样 ．试图加载代码的程式之前的行为会被用来监别是否为恶意，AEP 会跟踪这些活动尝试获 知代码的来源。若加载的程式有不良记录，代表很有可能是被恶意利用 ．某些漏洞利用程式，会在启动时连线到远端伺服器，AEP 会辨别未经授权的下载并阻止 它。此外连线的网域信誉也可以当作判断的基准 ．虽然从 Windows Vista 开始 ASLR（位址空间配置随机载入）就被作业系统使用，但仍 然有不少程式不支持该技术。AEP 强迫所有程式都使用 ASLR，其结果就是恶意软体没办 法用预插入代码的方式执行漏洞 防火墙 https://i.imgur.com/xlmutlX.png 防火墙方面卡巴斯机提供良好的自订性，而且可以与 HIPS 连动，例如所有未含数字签名 以及高限制组别的程式都会被阻止外连。Windows 自从7以後内建的防火墙对於入口防护 其实已经相当不错了，防毒的防火墙由原先的抵御入侵转变为阻止恶意程式连出，像多数 的勒索没有连网就无法对电脑进行加密，可见得专业的防火墙还是有其必要性 值得一提的是，卡巴的网页防护是透过流量扫描的方式，所以浏览器的套件不装也可以（ 虽然安装卡巴会被强上就是了，但停用不影响防护能力） https://imgur.com/cBUooUM F-Secure（90分）：FS 是一家云端与本地技术发展并重的厂商，他们使用 BD 再经过深度优化，查杀相当强悍；主防 DG 结合云端信誉和动态启发，对病毒响应快速， 可说是攻守兼具的利器。接下来将分析 FS 的防护工作方式 https://i.imgur.com/JWT7wgG.png https://i.imgur.com/PHpBSaO.png https://i.imgur.com/OHPneIj.png https://i.imgur.com/1S2oRxF.png 由上到下 FS 的防护由多层模块组成，结合起来就是一个完美的解决方案 很多人对於网页防护相当不重视，但事实上大多数的恶意攻击都发生在网路上，猖狂的勒 索程式多数就是利用网页挂马入侵电脑；因此理想的防护应该是恶意软体偷渡到电脑前就 将其拦截，阻挡可能的入口攻击 — 每次浏览网页时，FS 会将网址传送到 Security Cloud 做比对，若是已知恶意网址将自动阻挡 如果文件还是被下载到电脑执行，它会被传统的特徵库比对，扫描引擎也会用静态启发检 测，若包含任何相似样本或启发特徵，将立即封锁 到了这一步没有被识别为威胁的话，FS 的云架构会收到一次上传，包含档案的元数据（ metadata）。後续的监控行为将由主防 DG 负责 或许有人会疑惑，为什麽这篇要一直强调主防，没有主防就不能防毒吗？刚好这边有范例 可以说明 https://i.imgur.com/pa2ed8F.png 这是 FS 内部对 Urausy 勒索软体家族统计的结果，DG 可以持续监视样本的变种并阻止 恶意行为，而同时对应的特徵库检测率先大幅上升又在新变种出现後大幅下降。 （每次 特徵库检测率飙升的原因是因为它是防御体系中相比 DG 更靠前的一层，每当这些特徵失 效後，DG 的检测率就会上升。） 如今大部分的病毒变种持续时间都不长，特徵库检测一般希望能够在这类样本失效之前保 证足够的检测效率。但与此相反的是，DG 对恶意软体的检测能够持续相当长的一段时间 ，因为病毒的行为所产生的变化一般很少。比如，DG 更新了1条新的检测定义，特徵库则 更新了600条。九个月後再用同样的老特徵库去检测当时最新的流行样本，结果表明 DG 即便在未更新的情况下所检测的流行样本也比未更新的特徵库多出12倍。 对於变种和0day，主防是不可或缺的存在，没有主防的防毒对未知病毒的检测率自然较差 （也有例外） 回到原来的话题，DG 怎麽监控？它的工作分为几项 当程式首次被执行时，无论它是被怎麽执行（双击 exe、透过邮件附件、被其他程式调用 ），DG 将暂缓执行并做如下检查（这个过程只有几十毫秒） 文件信誉检查：如果网路可用，DG 将发送请求至 Security Cloud，查看白名单的信誉信 息，云端中包含一个常见软体的安全评估资料，由 FS 的病毒分析师维护，黑名单直接阻 挡，白名单跳过後续检查放行 所以这是 FS 的云拉黑，利用云拉白或拉黑有很多好处，例如就算特徵库没更新，DG 仍 然 可以通过信誉库来检测文件安全等级 行为分析（动态启发）：如果程式在文件信誉被判断为可疑，或网路不可用，DG 将在虚 拟环境执行此程式，观察是否有恶意行为，譬如尝试自我复制、编辑或者删除关键系统文 件 共用率检测：文件信誉由官方病毒分析师维护，而共用率是指多少人拥有此一软体，正常 的软体往往拥有大量用户；恶意软体则相反，稀有的软体会被标注为可疑，并将阻挡的阈 值（後续解释）调低 根据以上三项先期检查，DG 会做出以下四种判断 a.程式有害，拦截 b.用户会收到提示，并选择允许或阻止执行 c.文件安全，允许执行 d.文件的状态仍然未知 被阻止的文件， DG 会给出阻挡细节，以及将程式加入白名单的选项；如果文件的状态仍 然未知，DG 将允许文件执行，但会在接下来的过程中继续监控程序 即便程式突破了启动前分析，开始执行，DG 也将继续检测行为，这是为了预防某些恶意 软体常用到的延後策略（请参考动态启发一栏） 程序监测会监控包含但不限於以下的可疑行为： ‧ 修改注册表 ‧ 在关键系统目录编辑文件 ‧ 在另一个程序的记忆空间插入代码 ‧ 尝试隐藏自身，或复制自身 由於正常的程式也会多次执行这类操作，DG 并非根据单次行为就直接封锁。只要可疑活 动超过了一个关键阙值，DG就会阻拦程式继续进行（跟 BD ATC 差不多） 文件信誉和共用率检测的结果都会纳入关键阙值的确定过程。比如，共用率较低的文件， DG 就会在阻拦之前将阙值调低。 我们再回到第一张图，Exploit interception 就是漏洞防护，DG 有两种对漏洞的检测机 制 第一种是重点关注经常被发现漏洞的程式，譬如 java、Adobe Reader、Microsoft Office 等等。这些程式会受到格外的密切监控，如果检测到恶意行为，阻拦的标准也更 加靠前。 第二种是文件漏洞，譬如 Word 和 PDF 经常被用来攻击，因此任何想要打开这类文件的 软体就会受到第二种漏洞侦测的监控，会被严密监视恶意文件的可疑行为。 漏洞技术分析 http://www.2cto.com/Article/201603/491534.html https://www.youtube.com/watch?v=HU4OspsqDmc 利用 CVE-2015-2545 弱点执行附加程式 以上的 CVE-2015-2545 演示只是举例，更知名的还有2013年的红色十月，还有大家耳熟 能详的巨集病毒 FS 在诸多实测中排名介於 BD 和卡巴之间，算是後起新兴之秀，而且介面操作简单。它 也有一些缺点，例如自我保护很差、防火墙记不住规则，也不会自动化操作（个人版没有 防火墙，企业版才有这个问题）、因为跟 BD 一样主防采用打分阈值方式所以无法回滚， 仅有修复功能 在这边补充回滚和修复的差别 回滚：代表者卡巴、诺顿。像卡巴有一个100MB左右的文件夹，专门存放软体近期对系统 的操作备份，如果发现之前有执行过恶意程式（可长达一星期），主防就会根据记录回复 软体对系统的操作，例如把被勒索加密的档案复原 修复：针对特定的恶意程式使用既有的规则来修复系统，不同的病毒和防毒厂商修复流程 也不同，它并不是根据病毒记录来逐一撤销操作，而是一个通用的修复流程 例如被流氓绑架，就清空 host，浏览器首页改空白，注册表恢复预设等等 几乎所有防毒都有修复能力，只差在能力的高低与否；但防毒没有主防则无法回滚，有主 防的防毒也不代表能回滚，上面介绍的 FS 就是一例 偷偷告诉各位，FS 有提供免费的测试版下载 https://beta.f-secure.com/callout/?callid=95C8858024374B828C30C8B13378B71D 申请帐号有180天的试用期限，时间到後会给你自动续期，而且 Beta 跟正式版功能完全 一样，等於免费正版使用 事实上不止 FS，包含红伞、卖咖啡一直都有提供免费的 Beta，但比起其它防毒，FS 的 测试版相对稳定 https://i.imgur.com/Vq6vMMd.jpg Comodo Cloud Antivirus（90分）：这款防毒属於 Comodo 家族其实应该在上面一起介绍 ，基於某些原因决定独立一篇解讲 上面有提到为了简化操作，目前的 CIS 预设关闭 HIPS，也就是 AntiVirus 比对过特徵 和启发後，无法识别的程式将放在沙盒里执行，既然如此防火墙和 HIPS 似乎没有太大的 存在必要，於是在2015年底 CCAV 正式发布 Comodo 官方彻底精简了不必要组件，只留下 AntiVirus、Sandbox、Viruscope 这三块， AV 模块甚至更进一步去除了本地库，完全云端化，程序占用区区30MB左右，可说是轻量 级防毒的最佳代表。Comodo CEO Melih 号称 CCAV 是唯一离线仍可提供完整保护的纯云 AV https://i.imgur.com/V6q2g0q.png https://i.imgur.com/Is1PlKD.png https://i.imgur.com/IFpzEUF.png https://i.imgur.com/iRX5u5k.png 介面简单大方，占用资源小，没有任何广告。 或许有人会质疑，没有本地库监控会不会受影响？虽然 Comodo 的病毒检测率一向非常感 人，但根据我实际测试，只要打开样本文件，立刻报毒，也就是带有云启发，右键扫描也 会将 MD5 上传云库比对 启发和扫描无法确认的文件，又不在白名单里，会自动入沙执行，Viruscope 再对沙盒里 的文件做行为分析，只要判断为恶意软体立即终止程式 虽然上面提到 CCAV 没有 HIPS 模块，但可以当作简单的 Anti-Executable。这边有个小 技巧，预设的沙箱设定「将所有未受信任的应用程式放在沙箱中执行」改为「不受信任的 应用提出询问」，这样不在白名单里的文件每次执行时都会跳出视窗，问是否「在沙箱中 执行」「在沙箱外执行」或直接「封锁」。你可以把它想成 UAC，只是多一个「在沙箱中 执行」的选项，而且可以记住规则 https://youtu.be/aQ9PS_sMnhI CCAV Test1 https://youtu.be/S9GgHpEuxWI CCAV Test2 在实测中，CCAV 几乎没有失手过，目前还没有见过能突破 Comodo 沙盒的病毒，除非 CCAV 没办法检测到活动中的可疑程序（通常是被注入，但这种情况很少） 与其说它是防毒不如说是安全工具，虽然防护能力接近99%，但大多数沙盒内的软体需要 使用者自己决定是否放行，所以不适合小白用户；没有自我保护、没有网页防护这些都是 缺点，建议搭配 EMET、HMPA 提高入口防御 最後一点，如果你是 Win10 用户，而且会把画面放大，请不要使用 Comodo 的任何产品 ，安装後会使自订的 DPI 失效 https://i.imgur.com/MCz6Ant.png 「在高 DPI 设定时，停用显示调整值」此项会无效 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.165.185.3 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1495824079.A.B0E.html