在巴哈看一篇关於各家防毒软体的技术分析文章就转过来 如果有转载需求请记得附上以下原始网址 ※本文发布於巴哈姆特电应板以及部落格 IT Works，转贴请附上原文连结 https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488 -- https://i.imgur.com/5GERO6f.png Trend Micro（80分）：美系三大防毒趋势、诺顿、迈克菲都有两个特点：其一是重视防 胜於杀，查杀能力较弱；第二是云端大於本地，离线後防毒效果大幅减弱 https://i.imgur.com/kEBleCH.png 趋势科技的核心概念有三朵云：「Email Reputation Service 电子邮件信誉评等服务 (ERS)」、「Web Reputation Service 网页信誉评等服务 (WRS)」及「File Reputation Service 档案信誉评等服务 (FRS)」，这三个组成了主动式云端拦截技术（ Smart Protection Network） https://i.imgur.com/ZMOK3CO.jpg https://i.imgur.com/l9D53eL.png ERS：根据寄件者（邮件伺服器）的 IP 位址的信誉评等资讯，在收信前进行检测，有效 拦截病毒信件 运作概念示意 http://www.trendmicro.com.tw/spn/overall/popup/09.asp WRS：根据网页伺服器的信誉评等资讯，对连结网页进行检测，确实封锁恶意连结 运作概念示意 http://www.trendmicro.com.tw/spn/overall/popup/08.asp FRS：根据档案的信誉评等资讯，自动下载并分析档案内容 运作概念示意 http://www.trendmicro.com.tw/spn/overall/popup/10.asp 三种信誉评等服务之间可相互交流资讯。例如发现钓鱼信件时，该信件中连结网址的资讯 将被传送到 WRS 网页信誉评等服务资料库，一经判定为恶意网页，即会被登录在 WRS 网 页信誉评等服务资料库中。若在此网页中发现藏有恶意档案时，此资讯将会传送到 FRS 档案信誉评等服务资料库。并且同时将相关来源或档案登录在资料库中 https://i.imgur.com/JWiYlRC.png https://i.imgur.com/BdIbMj9.png 资料库关联性分析 http://www.trendmicro.com.tw/spn/overall/popup/05_02.asp 总的来说，SPN 的运作方式就是三个云资料库随时跟用户端保持双向沟通，当某一位用户 受到威胁时，其安全资讯会反馈到云端资料库。例如 ERS 收到恶意邮件，SPN 会反向追 踪「哪些伺服器也在发送这份邮件」、「邮件连结到哪些网站」、「网站上有哪些其他文 件」，它把相关讯息分配给 WRS、FRS 分析，做更深入的追查。 WRS 会详细追查其他关 联网站，再反向追查其他网站的文件，进而交给 FRS 判定文件是否为恶意程式。单一用 户的安全威胁透过云端即时回馈到全体的趋势使用者，这样一来就会建立起庞大的信誉评 分机制 https://i.imgur.com/V2A3MaT.png SPN 主动式云端拦截技术介绍影片，日文妹子发音 (重点误 http://www.trendmicro.com.tw/spn/movie/structure/index.asp 再来说本地防护，上面提到美系防毒不重视启发和查杀，其中趋势80%的特徵码放在云端 ，本地只保留20%，所以断网会更弱。趋势是用企业级的概念打造个人版防毒，每一个客 户都是一个子端，子端所浏览的网页、下载的附件都必须经过主端的严格过滤，理论上所 有威胁都应该在第一层的网路入口被挡下来，但万一威胁还是进入到本地端该怎麽办？趋 势有两套方法： 1.信誉杀：在高安全模式下，只要 SPN 没有检测过的文件都会被封锁，经过检测的档案 才能开启，当然这不代表遭封锁的文件就是病毒。例如自己制做一个空白的 exe，趋势也 会予以拦截 https://i.imgur.com/qWba9t5.png https://i.imgur.com/JtlggOd.gif 行为防护：大约2009年的版本趋势具有简单的 HIPS，像是拦截注册表和文件的修改，根 据特定规则 RD+FD 防护，弹窗时需要使用者手动确认放行。後来收购 Third Brigate 後 趋势开始发展主防技术，现在主防已经做到相当智能，并没有任何设置选项 https://i.imgur.com/7XfR6Nc.jpg 当年版本的 HIPS 设置项 由於大多数攻击由云端来防护，趋势的主防只对特定规则（重大系统威胁）拦阻。至於怎 麽判断哪些是云端信誉封锁？哪些是基於主防拦截？只要是蓝色弹框并提示「未经授权的 更改」就是主动防御的效果，且主防拦截後会附带回滚，而信誉封锁不带回滚也不会清除 衍生物 单看 AVC 的真实世界防护测试，趋势往往是成绩名列前茅的冠军，然而真像是──所有 送测的防毒软体，都会把防护模式开到最高，例如卡巴和 ESET 的高启发，而趋势就是「 高安全性模式」。上面已经解释了趋势的安全监别并不是基於病毒码、启发、行为判断， 而是档案信誉。这就产了一个问题，只要没经过趋势检测过的档案都无法执行，像是一些 小众软体，这种非黑即白的判断方式也伴随着高误判率。另外它的主防会擅自更改系统设 置，像是 UAC 和 Windows Update，就算在组策略禁用後也会被开启，这点我相当不喜欢 https://i.imgur.com/dS0L9RU.png 用最新的勒索病毒实测，趋势确实能完美阻挡。但点击样本後延迟三分钟左右才有反应， 期间大量读写磁碟和网路上下传，估计是将资料传回云端作监别 趋势是一款相当难评价的防毒，虽然在「高安全性（白名单概念）」下几乎不可能中毒， 然而误判率也高；而「中安全性（黑名单）」只会拦截明确的风险行为，但我们知道趋势 的查杀和启发非常弱，这种模式下中毒风险提高很多（所以後来又多了一个自动切换防护 层级）。我认为趋势比较适合电脑没有太多冷门软体，而且习惯良好的用户 简单概括 「中安全性」= 黑名单 + Aegis 主防（无云连动） 「高安全性」= 不在云白名单内的软体全封锁 「自动切换」= Aegis + 少量云信誉（云优先级高於 Aegis，遇到威胁频发就调整为高安 全模式） https://i.imgur.com/lmoBeO1.jpg Symantec（80分）：赛门铁克是全球最大的资安公司，齐下分为两套产品，以公司为名的 企业品牌赛门铁克以及个人版诺顿。身为美系防毒赛门铁克跟趋势一样，防重於杀，查杀 能力较弱，其中个人版诺顿70%病毒特徵放在云端，离线後防护能力会减弱，企业版赛门 铁克依然保有完整的本地特徵库。 https://i.imgur.com/3bXWSq4.png 无论是企业版还是个人版除了组件的版本不同，防护策略部分有做调整外，主要的功能是 大同小异，分为五个部份： 文件防护：包含传统的特徵库和启发式技术 网路防护：基於网路层的漏洞防护和入侵防御 行为检测：就是主防元件，根据行为特徵库防止未知威胁 信誉评监：用大数据来对文件进行评分，可以参考趋势 修复系统：清除感染後的修复流程，每款防毒都有 以下是具体介绍 文件防护包括： 防毒引擎：利用病毒码抵御最新威胁 自动防护：文件监控 启发式引擎：Malheur & Bloodhound 两种。常规检测使用 Malheur 引擎，报法 MH.xx； 漏洞/exploit 使用 Bloodhound 引擎 https://i.imgur.com/GPPxot1.png 脱壳引擎：可重覆达上百次的脱壳动作 通用虚拟机：即动态启发，包含检测脚本（detection scripts）和通用脱壳逻辑（ un-packer logic） 反多态引擎：Anti-Polymorphic 好像并没有固定的中文专有名词，就直译成多态引擎了 。简而言之，就是同一个恶意软体，入侵至不同的电脑时，产生的文件是不同的（File CRC），以此来逃避传统检测方式 高级启发式引擎：结合本地/云端启发和信誉评监，并且根据情景调整灵敏度，譬如启发 式对新下载的文件比已安装的应用程式灵敏的多.... 诺顿在2016年的版本，对底层的驱动引擎进行了大改版，取而代之的是新 Static Data Scanner 引擎，关於 SDS 引擎的技术细节官方并没有透露太多，可以肯定的是对於病毒 库和入库报法进行了大幅优化；例如2015年8月诺顿的特徵码总数高达4198万，但2016年6 月特徵库数量被削减到只剩560万，相当惊人 2015年9月诺顿开始加入 SAPE 报法，例如 SAPE.Heur.xxxx。据推测诺顿为了将病毒库精 简，开始用了新的启发定义。以往诺顿病毒库之所以庞大无章，很大原因是采用应急性的 暴力入库，即 Trojan.Gen，简单说就是将 MD5 或 SHA1 拉黑，之後再慢慢创建具体的特 徵库。这种方式最明显的缺点除了特徵库肥大，Trojan.Gen 的样本在未归类前，都可透 过改 MD5 来达到免杀的效果 而 SAPE 应该是透过机器学习和大数据，将相似样本的特徵直接提取达到入库识别，好处 是可以简单辨识样本的性质，也提升了识别能力（不容易被免杀）以及优化特徵库体积。 以往赛门铁克（简称铁壳）家族的防毒最被诟病的病毒检测率在新的 SDS 引擎架构以及 新 SAPE 启发法後，应该会有大幅度的进步才是 网路防护包括： 网路入侵防御：大名鼎鼎的 IPS，是一种流量扫描抵御漏洞攻击，但又跟一般防毒用完整 特徵库的流量扫描不同，诺顿的流量扫描只针对网路攻击和漏洞，它有自己的 IPS 特徵 库，目前特徵库高达2000多条入侵定义，包含一些常见的入侵漏洞（IE、Chrome、 Firefox、Flash、Java 以及一般的恶意 iframe、JS） 讲得通俗点，一般的防毒所谓的流量扫描是基於 http 的数据过滤，会用整个特徵库去比 对传输协议中，是否包含恶意代码并将之拦截 诺顿的 IPS 记录的是入侵行为定义，只有当 Web 含有明确的攻击行为才予以拦截，这也 是为什麽，下载带病毒的压缩包诺顿不一定会阻止的原因 事实上诺顿官方将 IPS 称为虚拟的漏洞补丁，因为这些入侵定义相当於 EMET、HMPA 这 类 Exploit Prevention 软体的效果。举一个例子，在 CVE-2015-2590 这个 Java 远程 安全漏洞中，攻击者利用禁用 Java Security Manager 来入侵电脑，诺顿的 IPS 可以在 一天之内藉由即时更新入侵定义来保护使用者，一般人则必须等待 Oracle（开发 Java 的公司）发行修补程式，至少得多等两天才能幸免於攻击 https://i.imgur.com/8n0GpDE.png 除此之外，它还能防范许多 Exploit 攻击手段，例如常见的 Heap Spray—在预先确定的 记忆体位置插入恶意代码，当有漏洞的第三方程式（通常是 Web Browser 或它的套件） 执行时便会启动。而 IPS 底下的主动漏洞防护模块（PEP）会以插入良性代码的方式先填 补这些记忆体位置，来阻止这些恶毒攻击 铁壳是少数带有完整的 Exploit Prevention 模块的防毒软体，IPS 的核心是一个通用的 Exploit 拦截引擎（Generic Exploit Blocking (GEB)），使用诺顿就没必要再装 HMPA 、EMET 了，就算装了也可能会有隐性冲突。在所有防毒中，对於漏洞预防诺顿相对出色 许多 浏览器保护：它能够监控浏览器内的恶意代码执行，因此得以检测绕过上一层防护的攻击 ，另外也包含了网页信誉 未经授权的下载保护：基於网路层的最後一道防线，同样防护未知和未修补的漏洞，但不 使用 GEB 签名（IPS 定义），主要是拦截可疑的 API 调用来避免恶意软体偷渡下载 行为检测 Sonar https://i.imgur.com/ze2BXFw.png 全名为 Symantec Online Network for Advanced Responce，看名子就知道，诺顿的主防 必须连网才能发挥最大功效，它会与各种模块连动，包括特徵码、启发、IPS、防火墙、 云端信誉。例如当一个文件信誉很低时，Sonar 会调高敏感度，发现可疑行为时立刻清除 ；又例如被启发报毒时，也会呼叫 Sonar 回滚破坏 Sonar 是铁壳系统的最後一道防线，它防御目标包含了病毒、木马间谍、殭屍网路、漏洞 注入、Zero-day、偷渡式下载、rootkit 这些所有的攻击方式，也就是说就算病毒通过了 文件防护的扫描（特徵库、启发）、网路防护的检测（IPS），到达了本地执行时 Sonar 还是会再检查一次，而且是实时对记忆体中的程式进行监控，有恶意行为时立刻阻止且回 滚修复 至於 Sonar 本身判断恶意程式的方法有两种，一种是用机器学习来分析云端大数据中的 资料，智能地识别恶意攻击，报法是 SONAR.Heuristic.XXX，也就是常说的云启发或云 AI；另一种则是基於规则的启发定义，又分为一般的行为签名和行为策略拦截，详细的 定义可以参考 https://www.symantec.com/security_response/landing/azlisting.jsp?azid=S 在我写这篇文章时，关於 Sonar 的启发签名共有780条定义 在某些情况下，病毒会深度嵌入合法的应用程式或作业系统本身，这时後强硬删除会伴随 着极大风险（死机、系统不稳定...）。於是 Sonar 会制造一个虚拟机（virtual sandbox），将被感染的档案导入其中修复，让它们不影响使用，该过程是全自动，而且 你可能不会注意到 信誉评监 https://i.imgur.com/z1AwT1t.png 将用户匿名提交的资料，通过统计社会学的方法来对文件进行分级，它会蒐集以下讯息： ．用户电脑上发现的应用程式（SHA2 哈希值） ．分析网路上的档案来源 ．是否有数字签名 ．文件出现在网路上的时间 ．其他有关属性 这些讯息会被存放在云端组成一个大型的信誉模型，当客户端需要时便於提供，例如诺顿 的下载扫描就会检查文件的评级，声誉不好立即阻止下载 依照诺顿的文宣理论上会降低误报，但实际上该功能就是诺顿长久以来被戏称为万物杀的 原因。就拿下载扫描的评判基准来说明，当一个新文件被放到网路上时，由於下载人数过 少，诺顿会直接阻止下载，直到一周或一个月後，下载的人变多（共有率提高）信誉系统 才会放行。这种宁可错杀百也不放过一的防御策略，加上美系防毒一项将盗版和破解视为 毒蛇猛兽，让诺顿获得了万物杀的美名… 最後说一下铁壳企业版 SEP 和个人版诺顿大概的差异，除了上述提到的 SEP 有本地病毒 库之外，企业的组件大概落後个人版一到两个版本，整体扫毒、主防弱於个人版；企业版 也没有网页信誉，IPS 少了压缩档监控。但是 SEP 拥有相当强悍的 CMC Firewall，自订 性极高，这是个人版只能依靠 symnets.sys 驱动控制连网远远比不上的；而且 SEP 每个 组件都可以自定义安装，加上永久免费（相信这才是很多人在意的）让不少个人用户选择 使用企业版 SEP https://i.imgur.com/ixzN8eC.png https://i.imgur.com/usAw05C.png 整体而言，诺顿的查杀偏弱且误报高（新的 SDS 引擎多少有改进）；但防御能力强，对 於网路攻击和漏洞防护在防毒中是一等一的。我对它的评价跟趋势差不多，适合习惯良好 不装盗版软体的用户 https://i.imgur.com/UyemPl3.png AVG Internet Security（80分）：免费 3A 中最早拥有主防的防毒软体，笔者付费版用 了快两年了，对於此防毒的特性感受相当深刻，下面将逐一介绍各模块的功能 https://i.imgur.com/uLbwELz.png AVG 的防护分为五大项 反病毒保护：基於特徵库和启发的实时检测 网页浏览：分成 LinkScanner 和 OnlineShield 两项目 身分：中文翻译取名实在很烂，这玩意就是主防 IDP，是五大项最核心的功能，也是 AVG 自豪的看家本领，少了它防护至少打四折 电子邮件：附件病毒检测和垃圾邮件分类，只支持 Outlook 等本地收件软体 防火墙：Outpost OEM 版本，全自动智能的防火墙 反病毒保护检测方法 ．已知病毒的签名扫描 ．多态检测引擎（请参考诺顿多态检测的说明） ．启发式分析：分成静态和动态启发 检测顺序由上至下，另外当文件被预处理和引用时，如果被认为不需要进行分析（例如白 名单中的档案），那麽扫描将不会启动以提高执行效率 至於实时检测（平时的系统监控，非手动扫描）又分两种 https://i.imgur.com/xVkpyVZ.png ．Resident Shield：当文件被复制或执行时对其进行扫描，检测到病毒会阻止打开受感 染的文件。它也会储存检查过的档案讯息，如果没有被修改过下次将忽略这些文件 https://i.imgur.com/gH1Rb5Z.png ．Anti-Rootkit：会分析调用的任何系统程序以及更深入的核心系统，以分析可能的 rootkit 存在 网页浏览 https://i.imgur.com/UT0lDtu.png ．LinkScanner：有点类似诺顿的 IPS 但不带流量扫描，是基於专门的 exploits 特徵库 对 URL 进行过滤，如果网页有恶意代码将进行拦截 ．Online Shield：真正意义上的流量扫描，会用本地的病毒库扫描网页中任何的代码和 程式，病毒下载到电脑前就会先行拦截，也支持 Skype 等即时通讯软体。付费版才有的 功能 两者的区别在於 LinkScanner 针对的是 iframe、JS 等攻击脚本，并用 URL 去过滤； Online Shield 则是抓着整个病毒库去扫描网页中的任何元素，另外也包含钓鱼网站 身分（主防） IDP 是标准的规则式主防，主防的定义不再讲解了，请自行看前面的介绍 比较特别的是，由於 AVG 是模块化设计，所以主防本身可以单独工作（不像诺顿组件互 相被绑死），这也让有些人透过特殊方法提取出 IDP 或者 LinkScanner 去搭配其它防毒 ；话虽如此 IDP 还是会与其它组件连动，只是依赖性不高，例如文件扫描发现到病毒， 会呼叫 IDP 进行恢复破坏，同时防火墙会封锁可疑的连线 遇到可疑程式但没触动到启发的情况下，IDP 也会从云端查询文件的信誉，降低误判的可 能 顺便说个有趣的历史，IDP 的前身是 Norton AntiBot，是 AVG 向诺顿购买主防技术，之 後再自行改良加强而来 https://i.imgur.com/hb5MjAB.jpg https://i.imgur.com/Wpjv9In.jpg 早期版本的 IDP 和 Norton AntiBot，介面几乎一样 防火墙 Outpost OEM 版本，AVG 把它调校相当智能。当检测到连接企图时，防火墙会同时向云端 信誉库和本地病毒库查询资料，如果为恶意软体或有安全风险时会自动封锁 另一种情况是，软体被识别为安全程式，但签名破损或无数字签名（常见於被修改的原版 软体），防火墙也会阻止连线 几个判断标准 ．是否为病毒木马 ．有无安全风险（危险系数） ．数字签名 防火墙会自动在背景工作，平时很难感受到它的存在，如果不放心的话，也提供手动的交 互模式让使用者选择 整体而言 AVG 表现得中规中矩，论扫毒和启发不如同为欧系的红伞、BD、FS，但却比美 系趋势、咖啡好；主防拦截率一般，带有回滚而且修复成功率极高；防火墙相当智能。如 果说 AVG 的扫毒、主防、防火墙分别只有70分，全部加起来就有超过80分的防护能力： 例如病毒过了网页防护，到了本地也要经过扫毒引擎的检测，就算过了扫毒主防 IDP 也 会即时拦截 AVG 还有一项优势，就是各项组件依赖性低，而且离线防护能力高。AVG 各组件虽然会协 同工作，但因为模组化，并不会因为关闭扫毒引擎就造成主防或防火墙失效的情况发生， 各组件能独立工作，互相协调但互不干涉。AVG 的云端仅供信誉查询，不俱备特徵库或启 发，主要的防护依然在本地发生，就算是离线也不影响防毒效果 AVG 的防护算是做得面面俱到，却没有过多花俏功能，对於新功能的添加也一直很谨慎， 这三年里除了2016年加入了 AI Detection（似乎是从收集的匿名资料进行遥测机器学习 ，官方没释出白皮书），并没有任何明显的改版动作，几乎都是底层的优化和规则的更新 较多 如果你跟我一样，喜欢实用、不花俏、离线防护能力高，那麽 AVG 推荐给你。AVG 也是 免费3A 中最早拥有完整主防的防毒，算是相当佛心 附注：由於 Avast 收购 AVG 的关系，最新的 AVG 2017 已改为使用 Avast 的扫毒引擎 和网页防护架构（2016还是可以继续用）；而 Avast 本家也预计加入 AVG 的主防。未来 的 Avast、AVG 可能只是名子不同，但骨子里是一样的东西 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.165.185.3 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1495824158.A.4F6.html