在巴哈看一篇关於各家防毒软体的技术分析文章就转过来 如果有转载需求请记得附上以下原始网址 ※本文发布於巴哈姆特电应板以及部落格 IT Works，转贴请附上原文连结 https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488 -- Q：旧版的作业系统（Windows7、8）只要定期更新安全性跟 Windows 10 一样，所以不用 升级 Windows 10？ A：错。微软在 Windows 10 的底层安全架构上花了相当大的苦心，以近期的 WannaCrypt 来讲，只要是 Win10 系统都不会因为漏洞的关系中毒才对。这并不是 Win10 强制更新的关系，就算在未补洞的情况下，也因为病毒覆盖记忆体区段的位置在 Win10 中是不可执行的，所以 Win10 不受这次灾情影响 https://i.imgur.com/lAEnI8v.png 这张图表有点旧了，但我们可以发现，Win7 与 Win10+EMET 安全性有相当大的差距。而 就在2017年微软把 EMET 全部功能融入到新版 Win10，所以 EMET 已经正式停止研发 换句话说，就算有漏洞，也因为底层安全架构的改进，Win10 相对不容易被恶意程式利用 ；而安全架构落後的作业系统，只能一直依靠打补丁做事後的解决 另外有些人满好笑的，看到新闻公布 Win 10 也有 WannaCry 导致小部分的中毒而大作文 章，殊不知这些数据是测试人员与使用者自己点击样本造成的，与漏洞完全没有任何关系 https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1495429133.A.155.html 再举一个例子，微软在 Windows 10 中添加了一个叫 AMSI 的公用 API，可以让所有第三 方防毒软体使用它扫描记忆体中正在执行的脚本内容（如 PowerShell、Windows 脚本宿 主、JavaScript 和 JScript）。过去防毒大多只能检测磁碟中存在的脚本，却不能阻止 记忆体中已执行的脚本，AMSI 的出现改变了游戏规则。它甚至可以检查 URL/IP 达到一 定的网路防护效果。也就是说，在 Windows 10 中防毒软体可以藉由 AMSI 近一步提升防 护能力和检测成绩 当然，Windows 10 在安全上的改进不止这些，但认真讲解又可以写一篇文章了，繁族不 及备载，就先介绍到这 Q：网路流传一篇20款防毒软体主防测试，号称断网才可以测出防毒对於未知病毒的应变 能力，值得参考吗？ A：如果有认真阅读上面的文章内容，应该知道当今多数防毒软体都有用上云技术，举凡 铁壳的 Sonar、卡巴的 KSN、红伞的 APC、咖啡的 GTI/Real Protect、甚至微软的 WD 遇上未知都要连网向 MMPC 查询才会杀。所以任何断网测试，在我看来都毫无参考价值可 言。而且把样本下载到本地双击，并无法测试出防毒的实际防御能力，例如 WannaCry 透 过 SMB 的漏洞入侵系统，ESET 虽然第一时间无法检测到该病毒，但其 IDS 网路防护却 可以阻断来自 SMB 的攻击，所以实际环境中 EIS 用户都不会受到勒索的影响。目前比较 可看出防毒实际能力的测试，应属 AVC 的 Real-World Protection Tests，它们是把 0day样本挂马在网页上，防毒在连网的情况下去浏览这些 Web 页，看能不能正确拦截（ 拦截但误报也会扣分） Q：勒索开始加密时要赶快断网？ A：开始加密代表病毒已经把需要的资料上传到黑客的伺服器，这时後断网已经来不及了 。何况断网会让防毒的查杀能力降低，所以千万不要自作聪明去拔网路线 Q：PTT 网友制作 "侦测到加密自动关机”的脚本，是否能有效防范勒索病毒？ A：如果安装系统的硬碟有重要资料，那麽千万不要使用这个脚本。我们已经知道不少防 毒会利用行为拦截未知的病毒，如果在加密的一瞬间立刻断开，等於中断行为检查，原本 主防可以加密後再回滚，用这个脚本反而会干扰防毒的主防运作。该脚本唯一的用途在於 ，除非重要文件都放在非系统碟（不是槽），自动关机後取出放资料的硬碟再重灌系统 Q：与其装防毒拖累效能，不如中毒後再手工杀毒？ A：现代作业系统越来越复杂，不太容易完全手工清除病毒的痕迹。就算你真的有办法删 除好了，恶意程式造成的破坏使用者也很难去修复。绑架首页这种小毒倒还好，那些会加 驱、深入内核的（典型如 Rootkit）就算把病毒移除，也已经对系统造成损害，如果不进 行修复可能会出现异常（蓝屏、死机等） 阅读本文後读者应该知道，防毒软体除了有「删毒」的功能也有「修复」的能力，更甚者 部分主防具有「回滚」可完全恢复病毒造成的破坏。所以这种麻烦事，还是交给专业的防 毒处理会比较好 Q：预防勒索的辅助工具百百款，除了防毒外还需要装哪些安全软体呢？ A：在众多辅防工具中，我只推荐 HitmanPro.Alert。其它号称防勒索的工具，大多是样 本侵入主机後，再利用各种方法（例如密罐）去捕获加密行为。然而在我看来「阻止勒索 加密」其实是最後手段，它应该是防毒的工作而不是辅防的任务 HitmanPro.Alert（HMPA）不同之处在於，它其实不是专杀勒索，而是一款 Anti-Exploit （漏洞防护）软体。从 WannaCry 的例子中可得知，会有大规模的灾情是因为勒索透过 SMB 的漏洞侵入主机，如果没有「侵入」根本不会有「加密」这些後续步骤。在实例中 ，具有 Anti-Exploit 功能的防毒（铁壳 IPS、ESET IDS）确实能在第一时间阻止漏洞被 利用。而 HMPA 是目前漏洞防护做得最好的辅防之一，其内置的启发规则不亚於一线大厂 的防毒模块，也可以跟多数防毒做搭配，产生互补作用。自从 EMET 停止研发後，HMPA 就变成了辅防的首选 -- 原本还想继续写解析勒索的文章，但实在没时间了。这篇文章花了一年多的时间撰写、收 集资料、阅读各大防毒厂商释出的白皮书、以及本人亲自实测。从基础原理开始解说，目 的就是以正视听，破除网路上各种似是而非的谣言。这年头不学无术的造谣者太多了，真 正的科普文却很少，所以乾脆我自己来写文，希望读者能从这篇文章中获益匪浅，得到一 些有用的知识那是再好不过了 对了，那些看到中国软体就高潮的家伙请不要回覆这篇文章。本文只谈技术，要发没营养 的酸文请左转场外 ※本文发布於巴哈姆特电应板以及个人部落格 IT Works，转贴请附上原文连结 https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.165.185.3 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1495824402.A.161.html