作者ss910126 (Yukino my wife)
看板AntiVirus
标题[情报] WindowsDefenderAntivirus已可在沙盒执行
时间Mon Oct 29 16:06:34 2018
微软Windows Defender Antivirus成为第一个能在沙盒中运行的防毒产品
微软上周宣布,其防毒软体Windows Defender Antivirus已经可在沙盒中执行,成为第一
个具备此类能力的防毒软体。微软并准备释出给Windows Insider方案的开发或研究人员
。
将Windows Defender Antivirus成功置於沙盒中执行可防止沙盒应用被入侵,将恶意程式
隔离在孤立环境中,确保系统其他部份不受影响。微软说明开发能让Windows Defender
Antivirus在沙盒中执行的原因在於,除了微软持续强化Windows 10整体对攻击的防御能
力外,微软内、外部研究人员已发现Windows Defender Antivirus内容分析器(content
parser)的漏洞可用来执行任意程式码执行。虽然没有看到Defender Antivirus漏洞的入
侵行为,但也激起该公司强化产品能力的想法。
这家软体巨人指出,将Windows Defender Antivirus置於程序执行受限环境下,是听取安
全业界及研究界意见的结果。这是一件很困难的挑战,因为他们必须考虑对效能和功能性
的影响、找出高风险区域,并确保这类沙盒技术不会影响产品原有的安全性等。
微软解释为此对Windows Defender Antivirus做了哪些调整。首先,现代安全软体需要扫
瞄各种对象,包括磁碟、记忆体中的资料串,以及即时行为事件等。而沙盒化的最重要功
能之一需要将Windows Defender Antivirus扫瞄能力分层(layering)以完整权限执行,
而且可於沙盒中执行的元件。将这些元件沙盒化执行的目的是可涵括高风险任务,例如扫
瞄不受信赖的输入指令、扩大的容器等,此外也需要将两个分层间的互动减少至最小以避
免大幅损及效能,而只在对效能要求较低时执行这些互动。
Defender Antivirus也尽量做协调作业以避免产生不必要的I/O、减少资料读取,以确保
受检查档案维持良好效能,尤其是在老旧硬体上。此外,微软也藉由限制可被处理的同时
呼叫,以减少程序间通讯(inter-process communication)、引发死结(deadlock)或
优先权颠倒(priority inversion)等效能瓶颈,并以低权限的Appcontainer实作沙盒,
防止不预期的程序被驱动。其他还需考量逐步部署及可使用资源的问题,还要赋予
Windows Defender Antivirus高度权限,使它有能力及时缓解事件、或复原被感染的元件
。
微软准备逐步将Windows Defender Antivirus释出给加入Windows Insider方案的开发或
研究人员。目前仅Windows 10的1703版本以上支援这项新功能。
使用者可以藉由设定环境变项(setx /M MP_FORCE_USE_SANDBOX 1)後重新开机,一旦沙
盒功能启动,使用者即会在Windows Defender Antivirus中看到MsMpEngCP.exe的内容程
序。
来源:
https://www.ithome.com.tw/news/126679
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 218.166.24.20
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1540800399.A.1F3.html
1F:推 belion: 我开 VM windows 算了.. 10/30 11:11