微软Windows Defender Antivirus成为第一个能在沙盒中运行的防毒产品 微软上周宣布，其防毒软体Windows Defender Antivirus已经可在沙盒中执行，成为第一 个具备此类能力的防毒软体。微软并准备释出给Windows Insider方案的开发或研究人员 。 将Windows Defender Antivirus成功置於沙盒中执行可防止沙盒应用被入侵，将恶意程式 隔离在孤立环境中，确保系统其他部份不受影响。微软说明开发能让Windows Defender Antivirus在沙盒中执行的原因在於，除了微软持续强化Windows 10整体对攻击的防御能 力外，微软内、外部研究人员已发现Windows Defender Antivirus内容分析器（content parser）的漏洞可用来执行任意程式码执行。虽然没有看到Defender Antivirus漏洞的入 侵行为，但也激起该公司强化产品能力的想法。 这家软体巨人指出，将Windows Defender Antivirus置於程序执行受限环境下，是听取安 全业界及研究界意见的结果。这是一件很困难的挑战，因为他们必须考虑对效能和功能性 的影响、找出高风险区域，并确保这类沙盒技术不会影响产品原有的安全性等。 微软解释为此对Windows Defender Antivirus做了哪些调整。首先，现代安全软体需要扫 瞄各种对象，包括磁碟、记忆体中的资料串，以及即时行为事件等。而沙盒化的最重要功 能之一需要将Windows Defender Antivirus扫瞄能力分层（layering）以完整权限执行， 而且可於沙盒中执行的元件。将这些元件沙盒化执行的目的是可涵括高风险任务，例如扫 瞄不受信赖的输入指令、扩大的容器等，此外也需要将两个分层间的互动减少至最小以避 免大幅损及效能，而只在对效能要求较低时执行这些互动。 Defender Antivirus也尽量做协调作业以避免产生不必要的I/O、减少资料读取，以确保 受检查档案维持良好效能，尤其是在老旧硬体上。此外，微软也藉由限制可被处理的同时 呼叫，以减少程序间通讯（inter-process communication）、引发死结（deadlock）或 优先权颠倒（priority inversion）等效能瓶颈，并以低权限的Appcontainer实作沙盒， 防止不预期的程序被驱动。其他还需考量逐步部署及可使用资源的问题，还要赋予 Windows Defender Antivirus高度权限，使它有能力及时缓解事件、或复原被感染的元件 。 微软准备逐步将Windows Defender Antivirus释出给加入Windows Insider方案的开发或 研究人员。目前仅Windows 10的1703版本以上支援这项新功能。 使用者可以藉由设定环境变项（setx /M MP_FORCE_USE_SANDBOX 1）後重新开机，一旦沙 盒功能启动，使用者即会在Windows Defender Antivirus中看到MsMpEngCP.exe的内容程 序。 来源:https://www.ithome.com.tw/news/126679 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 218.166.24.20 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1540800399.A.1F3.html