在巴哈看一篇關於各家防毒軟體的技術分析文章就轉過來 如果有轉載需求請記得附上以下原始網址 ※本文發佈於巴哈姆特電應板以及部落格 IT Works，轉貼請附上原文連結 https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488 -- 到這邊相信讀者已經對主防原理有初步認識，下面將介紹各家防毒的看家本領，並打上我 個人的主觀分數，數字越高代表防範勒索效果越好；評分大家參考就好，原理和技術內容 會用客觀角度做介紹 https://i.imgur.com/Z8lOLs5.jpg Comodo（98分）：Comodo 一向以防護為重，查殺為輔。防毒大致分為幾個區塊 AntiVirus、Firewall、HIPS、Sandbox、Viruscope https://i.imgur.com/sklE4wA.png 以前 CIS 只有 AntiVirus、Firewall、HIPS 三個區塊，文件執行前掃毒先做初步 hash 檢查，執行後 HIPS 判斷要不要對個別行為排除。防火牆預設阻擋所有連入，連出也是由 用戶決定是否放行 這幾年 Comodo 為了讓防毒用起來更傻瓜，加入了 Sandbox、Viruscope 這兩個功能，並 預設關閉 HIPS。現在的防護思路變成：第一步一樣由 AntiVirus 做判斷，並連接到雲信 譽庫，白名單文件放行，沒檢測到病毒又不在白名單裡的文件自動入沙；Viruscope 再對 沙盒裡的檔案進行行為分析，判斷為有害立即清除 這樣做的好處是，不用再操作繁鎖的 HIPS 規則，只要不破沙， Comodo 的防護基本上天 下無敵；Viruscope 只針對沙盒做檢測就是 BB，對所有程序檢測相當於主防的存在 https://i.imgur.com/xr6BkCQ.png 設定上大約注意幾個地方 由於 Comodo 掃毒相當感人，建議在即時掃描開啟 "啟發式掃描”稍微提升一點檢測能力 ，若擔心誤報可以只開「低」層級啟發 https://i.imgur.com/BAoH5Le.png https://i.imgur.com/wUnjyIC.png https://i.imgur.com/RoGlJyw.png https://i.imgur.com/1MaVL4m.png https://i.imgur.com/1V9tJN9.png https://i.imgur.com/6R7Rzp2.png 我們來看一下 Internet Security 組態的虛擬化規則。Comodo 預設著重在入口防護，這 點跟 McAfee 企業版一模一樣 「封鎖」「所有應用程式」「惡意」意思就是若應用程式在信譽庫裡的黑名單，則直接阻 止執行 「封鎖」「可疑位置」「任意」意即可疑路徑中的程式，封鎖執行 「封鎖」「Containment 資料夾」「任意」在沙盒自行啟動的程式，封鎖執行 「虛擬化執行」「所有應用程式」「無法識別」「少於三天」在任意位置無法識別的檔案 （評價未知），且在電腦中存放少於三天，執行時入沙 「虛擬化執行」「所有應用程式」「內部網路、卸除式媒體、網際網路」「無法識別」來 自內網、外網以及外接裝置（如隨身碟）的未知檔案，執行時入沙 「虛擬化執行」「所有應用程式」「網頁瀏覽器、電子郵件....」「無法識別」針對以上 應用程式建立的檔案（例如網頁瀏覽器下載的文件、壓縮程式解壓出的檔案）評價為未知 時，執行入沙 「虛擬化執行」「共用空間」「無法識別」於共用空間的檔案為未知時，執行入沙 什麼是入口防護？就是把惡意程式可能來源的入口做預防性封鎖（Comodo 則是入沙）， 至於電腦裡存放高於3天的檔案，代表使用者自行把檔案拖放到本地裡，用過沒問題才會 留著，所以沒必要再入沙，信任的文件再入沙只是平白增添麻煩 https://i.imgur.com/HcPBPXR.png https://i.imgur.com/LjMWK7r.png https://i.imgur.com/HwG9vzK.png 最激進的 Proactive Security 組態也依然有四條規則，除了高風險路徑和評價阻止執行 ，其它未知程式則一率入沙 其中的差別在於，預設的 IS 規則注重入口防禦，已存在本地的檔案默認信任；PS 則不 具有方向性，只要無法識別一率入沙 建議一般人用預設的 IS 組態就可以了，原因請參考咖啡介紹中我對其 FD 規則的心得。 若說利用 FD 作全局禁運（Files limited）是 "萬物攔”，那麼不具方向的全局入沙就 是 "萬物沙”了。大致上來說這種作法有兩大缺點：1.不夠便利、白白增加排除量；2.不 夠智慧，容易排除失誤。一個好的規則應該在最少限制下達到最高安全性，這點來說 Comodo 預設的 IS 對一般人來說才是最好的配置 曾經有天才自作聰明教人把預設的沙盒規則全部刪除，當下看了快吐血...... https://i.imgur.com/0W49MMo.png Viruscope 是 Comodo 新增的主防技術，但效果很雞助，所以預設只監控沙箱中的行為當 作輔助判斷 https://i.imgur.com/HXrJRe8.png 實測中 Comodo 幾乎沒有任何網頁防護能力，這個也是沒啥用的東西 此外 Comodo 對於注入防護較弱，曾經有網頁掛馬利用漏洞繞過沙箱注入系統，建議搭配 HMPA、EMET 等 Anti Exploit 軟體；雖然有回滾能力，但回滾常失敗；病毒查殺能力在 各家防毒墊底，比微軟的 WD 還糟；不少程式在沙盒內功能不正常，連帶行為偵測跟著失 效，仍然需要使用者自己判斷放行 有些高手會開啟 HIPS 藉由手動放行增加安全性，但它的 HIPS 並不是毫無疏漏的銅牆鐵 壁。首先從3版開始就有漏規則的老毛病；另外 FD 對 DLL 的加載比較不敏感，因為 Comodo 默認信任白名單內的數字簽名，如果惡意程式利用白加黑（白 exe 加載黑 dll ），不管是沙盒或是 HIPS 幾乎無法防禦。現階段白加黑有效的預防方法是特徵碼拉黑， 但 Comodo 的病毒檢測根本是悲劇.... https://www.youtube.com/watch?v=Rf9FwVwywM0 利用數字簽名白加黑過沙箱 以一款防毒來講，我會給 Comodo 不及格的分數，但如果單純當它是需要使用者自行操作 判斷的安全工具，毫無疑問 Comodo 對勒索的防護力接近100%。推薦給不怕麻煩，對系統 有一定了解的人使用 https://www.youtube.com/watch?v=UwBZxi2oLNg Comodo v.s Ransomware https://i.imgur.com/J25AyNT.png Bitdefender（95分）：BD 和 Comodo 可以說是兩個極端，Comodo 需要用戶自 案是否放行；而 BD 主打人工智慧，安裝 BD 後不需要任何操作，平常相當安靜，你幾乎 感受不到它的存在，對於病毒的檢測率相當精準，很少有誤判的情況發生，基本上可以交 給防毒自動化作業 https://i.imgur.com/R3xVL06.png https://i.imgur.com/8pbLFAf.png 企業版選項少得可憐，還不能調整防護級別 跟大多數防毒一樣，文件被下載到電腦後會先經過特徵庫和啟發式的檢測，BD 的 B-HAVE 引擎會分別進行靜態和動態啟發掃描，而動態啟發會把程序於虛擬環境中執行， 觀察是否有可疑行為，如果是惡意程式將被阻止。整個過程只有短短數十毫秒，所以不影 響用戶的實際體驗。為了提高掃描效率，如果為雲端中的白名單應用，BD 將只進行輕度 的啟發檢測，進一步降低誤報；而特徵庫和啟發都無法分析的未知文件，將於三秒內自動 提取特徵到雲端分析 儘管動態啟發增加了安全性，但它有一些缺點。首先虛擬環境中延遲時間過短，可以被簡 單規避（見動態啟發一欄）；其次，被檢查過的其他安全程式也可能被利用，執行時被惡 意軟體注入修改 為了克服這些缺點，不得不提 BD 主防技術，在2016年之前的版本，BD 的主防分為兩塊 ，分別是 IDS 和 AVC IDS 會偵測重要系統檔案，例如登錄項目、驅動程式安裝、以及注入程式碼（DLL）的攻 擊行為，是一種類 HIPS 功能 AVC 則是利用啟發法對電腦進行監控，它會對所有執行中的程序進行打分，當程式的分數 達到臨界值時，就會被視為有害物件並中止程式。例如：程式終止時沒有顯示用戶介面， 正常的程式停止時會問你要不要退出；擅自複製或移動到系統文件資料夾；對其它程序執 行代碼...以上都會被列入加分項目。2015年時，BD 主防擁有高達300條的啟發規則 到了2017年的版本，AVC 改名為 ATC，而 IDS 被整併到 ATC 中，ATC 不需要連網是完全 的本地 AI 主防（沒有雲連動）。整個防禦流程分為以下四步驟： https://i.imgur.com/f40WQqB.png 通過 ATC 惡意軟體的延遲啟動得以被檢測，它並不會基於單一行為就將程式視為威脅， 因為正常應用也有可能觸發可疑行為（例如增加啟動項目）；作為代替，它將持續地進行 評分，當達到特定閾值才會將某一個程式識為威脅 https://i.imgur.com/qAc2G2e.png BD 整體的防護流程包含四個步驟，若病毒在第一步被攔截就不會進入到下一個環節 ．入口防護，使用流量掃描（含 Web、Email、IM） ．到達本地的文件將 hash 核對簽名數據庫 ．如果沒有簽名匹配，會使用 B-HAVE 引擎進行啟發檢測 ．主防監控程式的行為，當分數達到閾值立刻阻止執行 https://i.imgur.com/wFkBUqM.png 網頁防護實例 雖然 BD 本身有其它模塊，像是掃毒引擎、Web 防護、防火牆，但整套防毒真正的精華說 是 ATC 單獨一個模塊一點都不過份。ATC 因為用獨特的打分方式造就了超強的0day攔截 率，加上本身就不錯的掃毒引擎（啟發和 PUP 檢測都很不錯），讓它的整體防護能力達 到非常高的水準 最新的 BD Free 已經包含了 ATC 主防，免費版與付費版差在免費版 ATC 強度只能調 " 中"，以及少了個人化的自定義選項和防火牆，除此之外幾乎毫無差別。個人私心認為 BD 是目前最好的防毒軟體 當然它還是有些小缺點，因為主防有別於其他家防毒用啟發規則做監控（像諾頓和 AVG 只要觸發規則就會被攔阻，所以啟發定義較嚴謹），而是用打分方式所以不會記錄惡意軟 體的行為，導致它無法回滾，算是遺珠之憾 這邊簡略說明規則式和評分制主防的差異 規則式：是指程式觸發了主防的規則行為，一般觸發數條就會被判定為病毒。? 身到 Windows 目錄、修改註冊表、添加啟動項、禁止工作管理員等等。若沒有觸發規則 或者觸發不到一定數量，就不會被攔截 為了方便理解，這邊舉一個例子 假設一個病毒會格式化整顆硬碟，造成無法開機、資料損毀。其行為順序為：加載資料到 記憶體虛擬地址空間 → 載入內核驅動 → 將 CPU 由保護模式切換為內核模式 → 改寫 底層寄存器→進行底層 I/O 操作（格式化硬碟） 而正好啟發特徵庫中有一條名為 Heur.DiskWiper.1 的定義，執行上述的病毒則主防會 攔截第一步行為 → 記錄並比對 → 放行 → 攔截第二步行為 → 記錄並比對 → 放行… …攔截第五步行為 → 記錄，符合 Heur.DiskWiper.1 → 終止程式執行 就算加入無關行為，或者改變操作順序，只要符合啟發定義都會被終止，所以主防對未知 和變種病毒效果很好（有些關鍵的順序不會改變，譬如上面這一套行為，就被稱作底層磁 碟訪問的元操作，無法更改順序；實務上可能也需觸發數條啟發定義才會被終止） 評分制：根據陌生程式的行為來扣分。譬如添加啟動項扣5分、修改系統文件扣 到一定的分數就會被主防擊殺。評分制估值函數相當複雜，同一行為在不同情況下的分值 有不同，重複的同一行為也不會導致分數的線性增加 https://i.imgur.com/GkFE9ci.png Kaspersky（90分）：台灣販賣的卡巴斯基分為 KAV 和 KIS 兩個版本。KAV 帶 病毒、即時通訊防護、Web 防護、郵件反病毒以及 System Watcher 主防；KIS 在以此基 礎加上防火牆和應用程式控制（HIPS）。如果可以的話，建議購買 KIS 才有最完整的防 禦體系 https://i.imgur.com/AQ4PQPm.png 反病毒& KSN https://i.imgur.com/TIl51Rg.png https://i.imgur.com/hVgrRbw.png 不管任何一個版本的卡巴，都帶有雲端檢測 KSN，我認為 KSN 才是 Antivirus 模塊的精 華所在；所有的雲都會靠 MD5、Hash 來判斷檔案的安全性，這就是所謂的雲拉黑，MD5 是一個快速判斷檔案的好方法，但對於卡巴來說不是唯一方法。首次執行程式會先進入 KSN 進行雲數據庫匹配，白 Hash 直接放入信任組，黑名單報 DangerousObject；而未 知應用自動分析安全的話放入限制組（需搭配 HIPS 模塊），符合雲危險模型報 DangerousPattern 也就是除了本地啟發外，KSN 自己有一套行為分析的檢測機制，當然觸發這個條件必須雙 擊應用。在雲加本地的雙重檢測下，卡巴對於未知病毒有很好的攔截率；但也因為倚賴雲 信譽的關係，卡巴對於破解軟體基本不殺，不管這個 Patch 本身有沒有毒都一樣，常用 破解的請自己多加小心；PUP、流氓卡巴也不殺，請自己在安裝程式時養成良好習慣看清 楚，不過 PUP 可以透過 HIPS（需打開交互模式）來限制 KSN 是卡巴雲安全技術的簡稱，它包含多種技術，而且與各種組件互相結合。例如判斷文 件會從數字簽名、hash 做初步掃描（雲拉黑）；也會查詢全球的統計資訊，封鎖評分過 低的對象（雲信譽）；若都沒有結果，再將數據提交到雲端運算中心，經過行為分析檢查 後反饋回用戶（雲啟發，原理詳見 360 QVM 的說明）。釣魚網頁、垃圾郵件同樣會查詢 KSN 的特徵庫、信譽資料，甚至在雲端對未知的 URL 做啟發判斷，垃圾郵件則是利用專 門的 UDS 技術篩選分類郵件。整個流程如下： https://i.imgur.com/hdERwG1.png 系統監控（主防）System Watcher 主防 SW 說實在檢測率一般，它不像 Sonar 用啟發通殺一切，而是先記錄程式行為，再 通過本地和雲病毒庫匹配惡意軟體，這樣的好處是誤殺低，對系統有重大危害的才會攔截 回滾，但低威脅基本不報；也因為主防與其它模塊連動性高，所以回滾成功率也高，例如 斷網後執行了雲殺但本地不殺的樣本，聯網後 SW 依然可以清除威脅並回滾，包括你關掉 監控，單測主防 SW 也可以與 KSN 連動。所以卡巴的各個組件都會相互交流，使得綜合 防護能力大幅提升 https://i.imgur.com/Ftt00Dn.jpg 網頁防護 https://i.imgur.com/1utrJ5k.png Web 防護共有三套檢測機制，分別是： ．通過本地的數據庫匹配 URL 攔截 ．連接 KSN 的數據攔截惡意網站 ．啟發式檢測，即使網站不在數據庫裡 https://i.imgur.com/GYFuovi.png https://i.imgur.com/WdeT4yP.png https://i.imgur.com/ZlkJQJV.png 用不同的方式檢測網站 雲端的數據庫會定期更新 URL 的信息，並將之發送到用戶端；但雲數據庫也可以提供實 時保護，當一台安裝卡巴斯基的電腦上發現惡意網站的時候，會立刻反饋回雲端，整個過 程不到30秒，全世界安裝卡巴的電腦就可以同時檢測到這個新網站。然而，當數據庫沒有 網站相關訊息時，啟發技術就顯得尤其重要 整個流程如下： https://i.imgur.com/BUl80PF.png 啟發檢測是防惡意網站的最後一道防線，即使網頁不在數據庫裡，這個模塊也有判斷網站 的能力，卡巴內部的統計顯示50%的惡意網站是由啟發模塊識別阻止 啟發模塊會檢查網站的特徵，再將它們和域名、使用的網站框架、加密方式等綜合考量， 根據一些間接的證據判斷是否為惡意網站。例如跨站腳本攻擊（XSS）、外部腳本代碼攻 擊等，它甚至可以檢查網站上的圖片是否為釣魚內容 HIPS & Trusted Applications https://i.imgur.com/zapjIIP.png https://i.imgur.com/oYSsAWE.png 卡巴的 HIPS 是透過 KSN 自動分配權限，通過雲信譽調整分組，默認情況下只需將「信 任數字簽名的應用」這項取消，其他 KSN 都會幫我們處理；當然你也可以自己制訂規則 ，例如收緊信任組的權限，將訪問其它程序的注入由「允許」改成「詢問」，這樣每次出 現注入行為都會彈窗問你要不要放行 善用 HIPS 可以達成一般防毒沒辦法做到的事，像是啟用默認拒絕（不在白名單內的軟體 一律阻止）來達到對勒索的防護。非白即黑模式在一般消費端的防毒相對罕見，原因在於 白名單必須囊括電腦上常見的應用程式；而對於企業來說，編輯受信任的名單並不是很難 的事，因為員工們為了完成工作需要的軟體相對較少，很少改變 對於普通用戶來說，他們每天可能安裝大量的新程式，這是個關鍵問題。因為一旦白名單 沒有相關程式就無法執行。換句話說，即使默認拒絕能夠提供極高等級的保護，但怎樣面 對不斷出現的新程式？怎樣在不給用戶帶來麻煩的前提依然不減防護能力？ 卡巴斯基的”Trusted Applications”包含三個組件，構建於 HIPS 和 KSN 之下 ．動態更新的程式白名單，基於 KSN ．一套完整的機制來確認每個應用程式的信任狀態，包含判定程式是否可以信任“繼承” 的規則（下文會解釋），不斷更新安全證書和受信任的域名的名單 ．單獨控制應用程式的系統，基於 HIPS https://i.imgur.com/raGmi4c.png 動態白名單基於 KSN 的文件信息庫，約有10億個程式，包含常見的各類軟體，而且這個 數據庫還在不斷更新完善。有近500家的軟體公司與卡巴斯基合作，開發者更新軟體包或 者發行新軟體時，KSN 可以在第一時間獲得資訊。雖然 KSN 擁有龐大的軟體數據庫，但 白名單還是有可能忽略了少量的正常程式，這也是為什麼要有兩個額外的機制來檢測程式 ：對應用程式信任“繼承”的判斷；針對受信任域名和證書的檢查 許多程式在操作中會創建其他新的程式，這些新程式可能不在卡巴斯基的數據庫裡。例如 ，為了下載更新，必須啟動一個特定的模塊，將會連接到軟體提供商的伺服器並下載新版 本。更新程式是由原始程式創建的新程式，在白名單數據庫裡可能沒有相關資料。然而， 如果程式被受信任的程式創建並啟動，它會被認為是可信的，這就是“繼承”規則 https://i.imgur.com/6peUKlS.png 受信任的程式 透過更新模塊下載的新版本程式，可能也和卡巴斯基白名單裡的數據不一樣。然而，可以 藉由別的特徵判斷程式的可信度，譬如檢查數字簽名是否正確 許多軟體開發者會用一個獨一無二的數字簽名來簽名他們開發的程式，防止未經授權的修 改，一旦檔案被第三方修改，數字簽名會損壞。卡巴斯基分析這些簽名，判定它們的可靠 性，並且維護一個不斷更新的數據庫。如果新版本的程式簽名被判斷為可信任，就會被加 入白名單。反之簽名被破壞的情況下，即使系統認為是可信的，也會立刻從數據庫中刪除 這個簽名（指破壞的簽名） 然而，檔案沒有簽名也很常見，所以還有其它判斷方法：搜索檔案下載的地址是否在受信 任的站點數據庫。如果域名在受信任站點列表裡（大多數情況下，都是知名軟體提供商的 域名），下載的對象就會被認為是可信的 受信任的軟體商的域名被認為是安全的，下載的檔案不會被認為是病毒。但是，一旦這些 網站分發惡意程式，它會立刻從受信任站點列表裡刪除 因此，白名單配合其他驗證工具，提供了一個高度容錯機制，讓一般使用者也可以在不失 易用性的情況下享有傳統 HIPS 的防護強度 漏洞防護 Automatic Exploit Prevention 卡巴斯基有多個防護層。第一層是 Web 防護，網頁的木馬在第一層就被擋下；若病毒不 幸被下載到本地，會被特徵碼和啟發檢測到；如果檔案資料沒有被收入在本地病毒庫，還 會連上 KSN 查詢；再下一層是主動防禦模塊，分析程式的行為，若有可疑活動立刻阻止 然而對於利用程式漏洞的攻擊行為，一般的防護模塊無法有效遏止，例如在 Adobe Flash 、Adobe Reader、Java、Browser 甚至 Windows 組件中植入惡意代碼。因此卡巴斯基有 專門針對漏洞的防護層，叫做 Automatic Exploit Prevention，對於檢測已知或未知漏 洞很有效 AEP 有數種預防漏洞的方式，首先它有檢測漏洞專用的簽名，會在打開文件時（例如 Word 檔）提前檢測，符合簽名中的行為定義就會阻止。簽名又分成兩種，一種是已知漏 洞簽名，另一種是潛在漏洞利用簽名，對於未知漏洞有幾種分析的手段： ．對於一些常被利用的軟體，例如 Adobe Flash、Adobe Reader、Java、Office 等等， 再被其它程式加載前都會另行檢查。不過“可疑”不代表“確定”，譬如 Adobe Reader 可能啟動另一個執行檔進行更新。但是經過分析執行文件的特徵，以及之前的行為可以分 析出文件是否惡意 ．卡巴斯基有一套”Security Corridor”定義軟體的行為模型，例如 Word 主要是處理 文檔，瀏覽器的功能是下載文件、瀏覽網頁內容。而惡意程式通常利用漏洞讓程式執行未 登記的行為，像修改系統文件、向程序注入代碼、安裝驅動等等。透過”Sexurity Corridor”可以限制軟體的範圍功能，即使它被卡巴斯基標住為可信任、有合法的數字簽 名也一樣 ．試圖加載代碼的程式之前的行為會被用來鑑別是否為惡意，AEP 會跟蹤這些活動嘗試獲 知代碼的來源。若加載的程式有不良記錄，代表很有可能是被惡意利用 ．某些漏洞利用程式，會在啟動時連線到遠端伺服器，AEP 會辨別未經授權的下載並阻止 它。此外連線的網域信譽也可以當作判斷的基準 ．雖然從 Windows Vista 開始 ASLR（位址空間配置隨機載入）就被作業系統使用，但仍 然有不少程式不支持該技術。AEP 強迫所有程式都使用 ASLR，其結果就是惡意軟體沒辦 法用預插入代碼的方式執行漏洞 防火牆 https://i.imgur.com/xlmutlX.png 防火牆方面卡巴斯機提供良好的自訂性，而且可以與 HIPS 連動，例如所有未含數字簽名 以及高限制組別的程式都會被阻止外連。Windows 自從7以後內建的防火牆對於入口防護 其實已經相當不錯了，防毒的防火牆由原先的抵禦入侵轉變為阻止惡意程式連出，像多數 的勒索沒有連網就無法對電腦進行加密，可見得專業的防火牆還是有其必要性 值得一提的是，卡巴的網頁防護是透過流量掃描的方式，所以瀏覽器的套件不裝也可以（ 雖然安裝卡巴會被強上就是了，但停用不影響防護能力） https://imgur.com/cBUooUM F-Secure（90分）：FS 是一家雲端與本地技術發展並重的廠商，他們使用 BD 再經過深度優化，查殺相當強悍；主防 DG 結合雲端信譽和動態啟發，對病毒響應快速， 可說是攻守兼具的利器。接下來將分析 FS 的防護工作方式 https://i.imgur.com/JWT7wgG.png https://i.imgur.com/PHpBSaO.png https://i.imgur.com/OHPneIj.png https://i.imgur.com/1S2oRxF.png 由上到下 FS 的防護由多層模塊組成，結合起來就是一個完美的解決方案 很多人對於網頁防護相當不重視，但事實上大多數的惡意攻擊都發生在網路上，猖狂的勒 索程式多數就是利用網頁掛馬入侵電腦；因此理想的防護應該是惡意軟體偷渡到電腦前就 將其攔截，阻擋可能的入口攻擊 — 每次瀏覽網頁時，FS 會將網址傳送到 Security Cloud 做比對，若是已知惡意網址將自動阻擋 如果文件還是被下載到電腦執行，它會被傳統的特徵庫比對，掃描引擎也會用靜態啟發檢 測，若包含任何相似樣本或啟發特徵，將立即封鎖 到了這一步沒有被識別為威脅的話，FS 的雲架構會收到一次上傳，包含檔案的元數據（ metadata）。後續的監控行為將由主防 DG 負責 或許有人會疑惑，為什麼這篇要一直強調主防，沒有主防就不能防毒嗎？剛好這邊有範例 可以說明 https://i.imgur.com/pa2ed8F.png 這是 FS 內部對 Urausy 勒索軟體家族統計的結果，DG 可以持續監視樣本的變種並阻止 惡意行為，而同時對應的特徵庫檢測率先大幅上升又在新變種出現後大幅下降。 （每次 特徵庫檢測率飆升的原因是因為它是防禦體系中相比 DG 更靠前的一層，每當這些特徵失 效後，DG 的檢測率就會上升。） 如今大部分的病毒變種持續時間都不長，特徵庫檢測一般希望能夠在這類樣本失效之前保 證足夠的檢測效率。但與此相反的是，DG 對惡意軟體的檢測能夠持續相當長的一段時間 ，因為病毒的行為所產生的變化一般很少。比如，DG 更新了1條新的檢測定義，特徵庫則 更新了600條。九個月後再用同樣的老特徵庫去檢測當時最新的流行樣本，結果表明 DG 即便在未更新的情況下所檢測的流行樣本也比未更新的特徵庫多出12倍。 對於變種和0day，主防是不可或缺的存在，沒有主防的防毒對未知病毒的檢測率自然較差 （也有例外） 回到原來的話題，DG 怎麼監控？它的工作分為幾項 當程式首次被執行時，無論它是被怎麼執行（雙擊 exe、透過郵件附件、被其他程式調用 ），DG 將暫緩執行並做如下檢查（這個過程只有幾十毫秒） 文件信譽檢查：如果網路可用，DG 將發送請求至 Security Cloud，查看白名單的信譽信 息，雲端中包含一個常見軟體的安全評估資料，由 FS 的病毒分析師維護，黑名單直接阻 擋，白名單跳過後續檢查放行 所以這是 FS 的雲拉黑，利用雲拉白或拉黑有很多好處，例如就算特徵庫沒更新，DG 仍 然 可以通過信譽庫來檢測文件安全等級 行為分析（動態啟發）：如果程式在文件信譽被判斷為可疑，或網路不可用，DG 將在虛 擬環境執行此程式，觀察是否有惡意行為，譬如嘗試自我複製、編輯或者刪除關鍵系統文 件 共用率檢測：文件信譽由官方病毒分析師維護，而共用率是指多少人擁有此一軟體，正常 的軟體往往擁有大量用戶；惡意軟體則相反，稀有的軟體會被標註為可疑，並將阻擋的閾 值（後續解釋）調低 根據以上三項先期檢查，DG 會做出以下四種判斷 a.程式有害，攔截 b.用戶會收到提示，並選擇允許或阻止執行 c.文件安全，允許執行 d.文件的狀態仍然未知 被阻止的文件， DG 會給出阻擋細節，以及將程式加入白名單的選項；如果文件的狀態仍 然未知，DG 將允許文件執行，但會在接下來的過程中繼續監控程序 即便程式突破了啟動前分析，開始執行，DG 也將繼續檢測行為，這是為了預防某些惡意 軟體常用到的延後策略（請參考動態啟發一欄） 程序監測會監控包含但不限於以下的可疑行為： ‧ 修改註冊表 ‧ 在關鍵系統目錄編輯文件 ‧ 在另一個程序的記憶空間插入代碼 ‧ 嘗試隱藏自身，或複制自身 由於正常的程式也會多次執行這類操作，DG 並非根據單次行為就直接封鎖。只要可疑活 動超過了一個關鍵闕值，DG就會阻攔程式繼續進行（跟 BD ATC 差不多） 文件信譽和共用率檢測的結果都會納入關鍵闕值的確定過程。比如，共用率較低的文件， DG 就會在阻攔之前將闕值調低。 我們再回到第一張圖，Exploit interception 就是漏洞防護，DG 有兩種對漏洞的檢測機 制 第一種是重點關注經常被發現漏洞的程式，譬如 java、Adobe Reader、Microsoft Office 等等。這些程式會受到格外的密切監控，如果檢測到惡意行為，阻攔的標準也更 加靠前。 第二種是文件漏洞，譬如 Word 和 PDF 經常被用來攻擊，因此任何想要打開這類文件的 軟體就會受到第二種漏洞偵測的監控，會被嚴密監視惡意文件的可疑行為。 漏洞技術分析 http://www.2cto.com/Article/201603/491534.html https://www.youtube.com/watch?v=HU4OspsqDmc 利用 CVE-2015-2545 弱點執行附加程式 以上的 CVE-2015-2545 演示只是舉例，更知名的還有2013年的紅色十月，還有大家耳熟 能詳的巨集病毒 FS 在諸多實測中排名介於 BD 和卡巴之間，算是後起新興之秀，而且介面操作簡單。它 也有一些缺點，例如自我保護很差、防火牆記不住規則，也不會自動化操作（個人版沒有 防火牆，企業版才有這個問題）、因為跟 BD 一樣主防採用打分閾值方式所以無法回滾， 僅有修復功能 在這邊補充回滾和修復的差別 回滾：代表者卡巴、諾頓。像卡巴有一個100MB左右的文件夾，專門存放軟體近期對系統 的操作備份，如果發現之前有執行過惡意程式（可長達一星期），主防就會根據記錄回復 軟體對系統的操作，例如把被勒索加密的檔案復原 修復：針對特定的惡意程式使用既有的規則來修復系統，不同的病毒和防毒廠商修復流程 也不同，它並不是根據病毒記錄來逐一撤銷操作，而是一個通用的修復流程 例如被流氓綁架，就清空 host，瀏覽器首頁改空白，註冊表恢復預設等等 幾乎所有防毒都有修復能力，只差在能力的高低與否；但防毒沒有主防則無法回滾，有主 防的防毒也不代表能回滾，上面介紹的 FS 就是一例 偷偷告訴各位，FS 有提供免費的測試版下載 https://beta.f-secure.com/callout/?callid=95C8858024374B828C30C8B13378B71D 申請帳號有180天的試用期限，時間到後會給你自動續期，而且 Beta 跟正式版功能完全 一樣，等於免費正版使用 事實上不止 FS，包含紅傘、賣咖啡一直都有提供免費的 Beta，但比起其它防毒，FS 的 測試版相對穩定 https://i.imgur.com/Vq6vMMd.jpg Comodo Cloud Antivirus（90分）：這款防毒屬於 Comodo 家族其實應該在上面一起介紹 ，基於某些原因決定獨立一篇解講 上面有提到為了簡化操作，目前的 CIS 預設關閉 HIPS，也就是 AntiVirus 比對過特徵 和啟發後，無法識別的程式將放在沙盒裡執行，既然如此防火牆和 HIPS 似乎沒有太大的 存在必要，於是在2015年底 CCAV 正式發佈 Comodo 官方徹底精簡了不必要組件，只留下 AntiVirus、Sandbox、Viruscope 這三塊， AV 模塊甚至更進一步去除了本地庫，完全雲端化，程序佔用區區30MB左右，可說是輕量 級防毒的最佳代表。Comodo CEO Melih 號稱 CCAV 是唯一離線仍可提供完整保護的純雲 AV https://i.imgur.com/V6q2g0q.png https://i.imgur.com/Is1PlKD.png https://i.imgur.com/IFpzEUF.png https://i.imgur.com/iRX5u5k.png 介面簡單大方，佔用資源小，沒有任何廣告。 或許有人會質疑，沒有本地庫監控會不會受影響？雖然 Comodo 的病毒檢測率一向非常感 人，但根據我實際測試，只要打開樣本文件，立刻報毒，也就是帶有雲啟發，右鍵掃描也 會將 MD5 上傳雲庫比對 啟發和掃描無法確認的文件，又不在白名單裡，會自動入沙執行，Viruscope 再對沙盒裡 的文件做行為分析，只要判斷為惡意軟體立即終止程式 雖然上面提到 CCAV 沒有 HIPS 模塊，但可以當作簡單的 Anti-Executable。這邊有個小 技巧，預設的沙箱設定「將所有未受信任的應用程式放在沙箱中執行」改為「不受信任的 應用提出詢問」，這樣不在白名單裡的文件每次執行時都會跳出視窗，問是否「在沙箱中 執行」「在沙箱外執行」或直接「封鎖」。你可以把它想成 UAC，只是多一個「在沙箱中 執行」的選項，而且可以記住規則 https://youtu.be/aQ9PS_sMnhI CCAV Test1 https://youtu.be/S9GgHpEuxWI CCAV Test2 在實測中，CCAV 幾乎沒有失手過，目前還沒有見過能突破 Comodo 沙盒的病毒，除非 CCAV 沒辦法檢測到活動中的可疑程序（通常是被注入，但這種情況很少） 與其說它是防毒不如說是安全工具，雖然防護能力接近99%，但大多數沙盒內的軟體需要 使用者自己決定是否放行，所以不適合小白用戶；沒有自我保護、沒有網頁防護這些都是 缺點，建議搭配 EMET、HMPA 提高入口防禦 最後一點，如果你是 Win10 用戶，而且會把畫面放大，請不要使用 Comodo 的任何產品 ，安裝後會使自訂的 DPI 失效 https://i.imgur.com/MCz6Ant.png 「在高 DPI 設定時，停用顯示調整值」此項會無效 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.185.3 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1495824079.A.B0E.html