在巴哈看一篇關於各家防毒軟體的技術分析文章就轉過來 如果有轉載需求請記得附上以下原始網址 ※本文發佈於巴哈姆特電應板以及部落格 IT Works，轉貼請附上原文連結 https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488 -- https://i.imgur.com/vtYC05M.jpg McAfee（65分）：身為美系的咖啡同樣仰賴雲端的殺毒技術，同時個人版和企業版差別頗 大；本文評分以個人版為基準，但是擷圖以企業版為範本，因為咖啡把所有的"精華"都放 在企業版上 咖啡的殺毒核心集中在雲啟發/雲信譽上，約在2013年以前這項技術叫做 Artemis（月神 ），在 Intel 收購 McAfee 後重新把月神命名為 GlobalThreat Intelligence（簡稱 GTI），並在原有雲啟發的基礎上再加上雲信譽，而這個啟發信譽引擎橫貫整個 McAfee 產品線，從最基本的即時監控掃描、到防火牆 IPS、再到網頁防護 GTI 幾乎無所不在； 若沒有 GTI 咖啡的殺毒可說廢了大半，所以使用 McAfee 必須保持良好的網路連線環境 McAfee 的產品大致上分為個人版和企業版，而企業版又分大企業和小企業版 https://i.imgur.com/8fVW5MR.png *：V3 特徵庫比 V2 體積小45%，掃描速率更快，但檢測率不變 MES 架構較新，病毒庫為 V3，記憶體佔用較大，有完整的防火牆、Web防護等功能，GTI 包含信譽和啟發，具有驅動級 Antirootkit VSE 上一代架構，毒庫結構為 V2，記憶體佔用小效能高，但功能較少，GTI 僅有啟發沒 有信譽，沒有驅動級 Antirootkit 但可以掃描 rootkit（跟紅傘一樣） 而個人版架構跟 MES 基本一樣，最大的差別在於個人版沒有存取保護，而存取保護恰巧 是咖啡企業版最大的賣點，另外就是企業版自訂項目較多。本篇文章會同時介紹 VSE 和 MES，一般消費者想了解個人版的特色可以參考 MES 的解說 https://i.imgur.com/o2oGwNX.png 威脅防護：含即時監控、病毒掃描、存取保護、入侵保護 防火牆：使用 GTI 對連線的 IP 進行信譽控管 Web控制：使用 GTI 對連線的網站進行控管，非流量掃描 https://i.imgur.com/Diu94QL.png 從最早的 VSE 到新的 MES，存取保護一直是咖啡企業版最強大的功能之一。簡單說可以 透過預先設定的規則，限制程式可以存取的檔案、登錄機碼、處理程序和服務；聽起來似 乎跟 HIPS 很像，但存取保護不是 HIPS。我們知道 HIPS 是在程式執行時基於 RD、AD、 FD 這三項逐一彈窗詢問用戶是否放行，而咖啡的存取保護有強大的 FD 防護，AD 的部分 卻非常粗糙，只能封鎖執行檔來達到簡單的 AD 效果；底層操作（硬碟炸彈）、注入、提 權、COM接口防護等也都是存取保護的短板。另外咖啡在遇到觸發規則的情況下並不會詢 問如何操作，只會跳出觸紅視窗告訴你操作被阻擋，你必須再打開規則頁面重新編寫進行 排除，這種非詢問式的規則寫法也是它有別於一般 HIPS 的地方 https://i.imgur.com/Im5HTTe.png https://i.imgur.com/zhuPiQB.png 台灣有部分人（就不指名是誰了）把 McAfee 的存取保護過度神話，說它是防勒索利器， 事實上這是一個嚴重錯誤的觀念。上面提到存取保護是一套基於 FD 的規則編譯器，它涵 蓋了三大塊「文件操作控制」、「註冊表操作控制」、「Port 調用控制（MES 由防火牆 取代）」，也就是說存取保護無法阻止「注入行為」、「底層入侵」、「網路入侵」。咖 啡的規則對於高權限威脅完全無法抵禦，必須在病毒尚未提權時阻止提權。現在越來越多 病毒不直接 FD 而是通過調用系統 API 的方式寫入磁碟甚至是注入，而咖啡唯一的防禦 方式就是啟用「阻止對所有共享資源的讀寫訪問」否則必過，然後從此之後你就走上大排 除時代的不歸路了...... FD 系的防毒軟體正確的用法是著重在入口防預，例如禁止 USB 程式執行、封殺下載目錄 （C:\Users\Yourname\Downloads\** ）、禁止 Temp 下的檔案執行等（事實上 Comodo 的預設規則就是這樣寫的，跟 McAfee 思路一模一樣），這樣做的目的是攔截所有未經你 同意的行為，但它沒辦法防止自己手賤去雙擊導致的中標。當然，你可以用禁運大法，全 局禁運 DLL、全局禁運 exe，夠不夠安全？但是你要怎麼判斷 DLL 的合法性？你要怎麼 判斷 exe 合法性？在無法判斷文件好壞的情況下其實禁運一點意義都沒有，事實上 McAfee 幫企業寫規則也從來不搞禁運這一套（單純禁運一狗票的 Anti-EXE 軟體會比 McAfee 好用多了） 綜上所述，咖啡的 FD 對於加驅、底層讀寫、hook、注入、螢幕鍵盤擷取這類威脅無法有 效防禦，不巧的是不少勒索病毒都用這類手法來達成目的，例如透過 interpreter 執行 bat 繞過禁讀寫限制，所以如果想利用咖啡企業版防勒索建議還是省省了。但難道其他 HIPS 軟體防勒索就比較好嗎？其實 Comodo 防注入也不太好，真正的勒索大殺器是自動 沙盒；防注入最好的是 ESET，但它的規則最難以編寫，而且勒索手法多變，不是只有注 入而已，對於沒有主防的 ESET 來講勒索是其硬傷 咖啡用戶也不用太悲觀，撇開勒索來講，只要做好入口防禦大概90%的未知病毒都可以拒 擋門外，剩下的10%請管好自己的手多加小心。HIPS 只是輔助你不是萬能，良好的規則也 必須配合良好的使用習慣 https://i.imgur.com/97P3Dks.png 入侵保護就是漏洞保護，又分為三個項目 緩衝區溢位保護 GBOP：關於什麼是緩衝區溢位我就不解釋了，維基百科已有項目請自行 Google 資料防止執行 DEP：DEP 是 Windows 原有的功能，MES 只是把 DEP 選項化以及進一步的 強化。此功能的描述同樣參考維基百科，這邊不贅述 動態應用遏止 DAC：全名是 Dynamic Application Containment，我忘了繁中版是怎麼翻 了（沒擷到圖）。這項功能有點類似智能 HIPS，簡單來說防毒軟體不可能判斷所有檔案 的安全性，總會有些灰色地帶的軟體，這時後要怎麼辦？一但檔案被判斷為"可疑"又想嘗 試執行，就會被扔到 DAC 裡去，DAC 預設了幾條針對惡意程式常見的行為規則，例如更 改關鍵 Windows 文件和註冊表，讓這些程式不會對系統造成危害，同時收集這些行為訊 息連到咖啡的伺服器裡去，如果這些程式不斷觸發 DAC 到一定閾值，GTI 就會封鎖文件 （信譽不良）甚至加以清除。對於未知程式直接用 DAC 限制一下很省心，大大減少編寫 規則的麻煩 其中 MES 有完整以上三項功能。VSE 僅支持32bit XP、Vista、7 的 GBOP，對於其他系 統的緩衝區溢位保護由 HIP （大企業版防火牆組件）提供 個人版架構同 MES，理論上也有 GBOP 和 DEP，但個人版可能沒有相關選項或是被簡化； 至於 DAC 是專門為企業設計的功能，所以個人版沒有 DAC https://i.imgur.com/pWpOGWu.png 建議把 GTI 直接拉到最高，咖啡近幾年檢測率每況愈下，而且雲啟發誤報率極低，拉高 一點有助於提升檢測率 另外新的個人版已經拋棄了傳統5800本地引擎，雲啟發也由原本的 Artemis 改為 JTI 和 Suspect 報法，依據實測結果不管是修復還是掃描能力都大不如前（以前咖啡以高修復 能力著稱，如今....）。而企業版依然保留本地引擎和月神，所以現階段極不推薦咖啡個 人版 https://i.imgur.com/VHYfc71.png 基於 Dat Engine 的腳本掃描，可以檢測 JavaScript、VB 腳本，算是網頁防護的一環 https://i.imgur.com/E2owB7P.png https://i.imgur.com/XjZw78j.png https://i.imgur.com/8qOUyZs.png 如果啟用 GTI，防火牆就會將信譽不良的 IP 進行隔離。它的算法非常複雜，會根據網路 流量、端口、目的地、協議以及出入站請求作綜合判斷，一旦超過設定的閾值就會封鎖（ 不僅僅是向雲端查詢 IP 這麼簡單），這方面頗像諾頓的 IPS 當然它也會跟其他組件做聯動，例如監控到有害文件就會封鎖該軟體的任何連線請求，這 算是智能型防火牆的基本功能 https://i.imgur.com/OseDg3A.png https://i.imgur.com/psBt8p7.png 咖啡沒有流量掃描的功能，網頁保護是透過工具列比對 URL 來攔截，這個工具被稱為 WebAdvisor，一旦啟用會有數個 DLL 注入到瀏覽器程序，但不影響效能 它不僅會比對 URL 的信譽，還會計算與其網域相關聯的 IP 和 DNS 的信譽，就算該網址 在咖啡的信任名單，一但內含的廣告被植入木馬，照樣封鎖 在網頁信譽的檢測上咖啡在所有防毒中也是名列前茅，目前僅趨勢科技可與之相提並論， 其它防毒都望塵莫及 https://i.imgur.com/57uuQB9.png 大企業 VSE 介面非常復古精簡，畢竟少了 Web 防護、防火牆、GTI 信譽等功能，卻也相 對輕量化、效能高 https://i.imgur.com/UKspZ36.png VSE 的存取保護跟 MES 略有不同。首先 MES 可針對 MD5或副檔名進行定制、VSE 只能利 用文件路徑進行排除；有時後 MES 只需要一條，VSE 卻需要創建多條規則才能達到一樣 的效果。但是 MES 無法刪減咖啡預置的官方規則，VSE 這方面顯得靈活多 VSE 沒有防火牆，取而代之存取保護可以封鎖 Port（無法控制連入連出）達到簡單的連 線控管 https://i.imgur.com/T3nOj6R.png VSE 的掃描用的是舊版只含啟發的 Artemis，而完整的 GTI 包含啟發和信譽。建議直接 將敏感層級拉到最高 https://i.imgur.com/oOKlAur.png 對於一般人來說，只會接觸到個人版防毒，個人版的架構大致可參考 MES，但是少了存取 保護、DAC，沒有本地引擎（雲報法分為 JTI 和 Suspect 兩種）。再來就是新加入的 Real Protect 行為檢測技術（MES 需有 EPO 支援才可啟用） 對於勒索病毒而言，最好的檢測方法是對行為作分析，所以一直以來強烈推薦安裝具有主 防的防毒。邁克菲在過去並沒有類似的技術，終於在2017年推出了 Real Protect，而其 中又分為靜態分析和動態分析 我們知道傳統的特徵碼檢測惡意軟體制作者只要更改代碼中微小的部分就能規避，但就算 病毒作者改變周邊代碼的所有內容，歸根究柢它還是惡意軟體：其所使用的編譯器、語言 程式、引用和共享的動態庫都有許多共同的特徵。McAfee 藉由雲端威脅感知系統 GTI 收 集全球的病毒樣本，再利用機器學習統計分析這些二進制代碼的特徵，歸納出一套數學模 型，可以在不依賴特徵碼的情況下瞬間比對出存在電腦中的威脅，這是 Real Protect 靜 態分析技術，是一種執行前防禦（病毒尚未執行前攔截） 如果病毒能通過靜態分析，但執行中的代碼卻相當可疑，就會觸動 Real Protect 的動態 分析，防毒會持續追蹤該程式的行為並上傳給雲端分析，如果行為符合雲模型中惡意範疇 （例如刪除子程序、覆蓋文件以及更改關鍵註冊表等等）就會立即阻止威脅。值得一提的 是，由於 McAfee 並不是上傳整個文件，而是上傳檔案的行為跟蹤記錄（包括文件名、路 徑、程序 ID、系統版本以及隨機生成的 GUID），所以比起紅傘 APC 或 Avast CC 之類 的反應速度快上不少 假設讀者到目前為止有仔細閱讀這篇文章，應該會發現 Real Protect 靜態分析其實就是 雲啟發，跟原本的 Artemis 有何不同咖啡並沒有說清楚。關鍵的行為防禦其實是動態分 析部分，可惜的是實測結果 Real Protect 表現並不理想，跟一般所謂的主動防禦型防毒 完全不可比。咖啡的技術文檔有提到 Real Protect 具有回滾破壞的功能，然而到目前為 止尚未見到 Real Protect 有任何回滾或修復的能力。也就是說這是一個還不成熟的技術 ，無法稱為合格的主防 咖啡企業版的存取保護相當強大，雲啟發誤判率低，修復能力也很強；可惜個人版表現不 盡人意。而且不管是企業版或個人版對於勒索防禦都不太在行，新的 Real Protect 技術 尚未成熟。所以如果要防勒索，筆者實在不是很推薦，故給了較低的分數 https://i.imgur.com/a6GD3IZ.png Windows Defender（60分）：每個人電腦中都有的防毒軟體，然而對其看法卻是眾說紛紜 。有人說現在的 WD 已經足夠安全、不需要再裝第三方防毒；也有人說 WD 只是基準線而 已，微軟不可能做太好。目前台灣論壇我還沒見過從技術面剖析 WD 的文章，大多只是個 人主觀感受。離你最近的軟體，如此熟悉卻又十分陌生，下面我們就來揭開 WD 的神秘面 紗 我們先從雲安全開始說起，WD 的雲殺叫 Dynamic Signature Service 動態簽名服務（簡 稱DSS），而動態簽名服務又分為動態和靜態兩種類型 https://i.imgur.com/TN9NQY8.jpg 靜態：跟一般的雲防毒相同，對於未知程式 WD 會上傳一份 metadata 到雲端分析；但為 了防止誤報，剛剛分析出的威脅不會馬上入庫，而是先放在伺服器上。這時後如果本地的 WD 發現可疑文件，會先發送一道訊息請求查詢，若雲數據庫中存在此威脅，則會將一個 小於1kb的臨時特徵庫下放到本地，WD 將加載此臨時特徵庫對未知病毒進行查殺 動態：如果監控和掃描沒有發現可疑，在檔案實際執行以後，WD 依然會繼續監控此程式 的行為。當發現可疑之處，WD 會把它的行為特徵發送到雲端查詢，若數據庫中有包含該 行為的動態簽名特徵，WD 就會把行為代碼發送到本地，阻止威脅和恢復破壞 雲殺沒有固定的報法，但凡事結尾帶 plock、Detplock、CL（例如： Trojan:Win32/Detplock）就一定是 DSS 殺 WD 對於未知威脅以及臨時入庫幾乎是 DSS 殺，當 Microsoft Malware Protection Center（MMPC）也就是微軟的惡意軟體保護中心分析完雲端的數據以後，再將這些病毒家 族化下放到本地，所以 WD 的本地特徵庫基本上都已經基因化，很少會見到針對單一特徵 的報法 看完以上的介紹或許有人會覺得，WD 在行為檢測上相當依賴雲端，其實並不完全是。在 本地 WD 還留了兩手，一種是基於 Behavior Signature 的動態防禦，另一個是 VFS 動 態啟發 在本地 WD 擁有一千多條的 Behavior 定義，然而一般我們幾乎見不到相關報法，因為除 非惡意行為達到 Severe Level 的程度，否則為了控制誤報 WD 不會直接阻止執行而是用 遙測的方式把相關特徵發送到雲端，確定為威脅才會阻止（DSS）。也就是被微軟認定為 真正的高度危害才會觸發 Behavior Severe Level 殺 https://i.imgur.com/YOPv5xV.png 純本地的行為殺報毒名會是 Behavior 而不是 plock 或 CL，而且危害被定義為 Server 等級 另一種本地行為檢測就是動態啟發，當程式剛開始執行時如果可疑程度達到了一定閾值就 會觸發，還有每次使用檔案總管瀏覽資料時，也會啟用動態啟發中的靜態檢測（主動將執 行檔拆包在虛擬環境中分析代碼，這也是很多人覺得 WD 卡 exe 的原因） https://i.imgur.com/rsjME6r.jpg 不過這項技術約7、8年沒做過改動，檢測率漸漸越來越差，原因之一是其虛擬環境為 XP SP2，而且作業系統的帳戶名稱還是固定的，所以 WD 的動態啟發現今已有不少免殺方法 ，算是一個聊勝於無的東西 說完了行為檢測，接下來介紹 WD 網路防護 在以前 WD 曾經擁有類似鐵殼的 IPS，也就是基於網路層的 Exploit Prevention 模塊， 可以在沒更新作業系統的情況下依然能攔截部分網路漏洞威脅。但就在2016年底微軟把網 路層的 Network Inspection System 與行為監控 Behavior Monitoring 合併成為 Network Real-Time Inspection Behavior Monitoring（網路實時行為監控）。這個 NRI BM 會同時檢查程式的網路、註冊表、內核修改等等的行為，如果程式存在 NRI BM 特徵庫中的行為，就會動用 DSS，也就是查詢微軟的雲數據庫看該行為是否是真正的威脅 舉一個例子，若一未知程式向外發起出站（網路層連出），該行為綜合判斷又符合 NRI BM 中的 FakepAV 定義，就會進一步請求 DSS 看是不是要進行雲阻斷。至於為什麼要再 向 DSS 確認一次，目地就是為了降低誤報率 網頁防護方面，WD 只能與自家 IE 和 Edge 連動（不確定，若有 WD 阻斷 Chrome、 Firefox 網頁的畫面請務必提供給我）。在 Windows 8 以上的版本，因為 IE 和 Edge 預設降權執行，以及強大的 SandBox 技術，多數 JS 掛馬對微軟的 Browser 無效，所以 WD 很少攔截掛馬網站，但當遇到高危性的掛馬，例如 VBS Ramnit 病毒，WD 是不會對 其坐視不管的。另外 URL 靠 SmartScreen 黑白名單攔截 https://i.imgur.com/39DvQYr.jpg WD 封鎖網頁的記錄 WD 雖然有行為檢測，但多數是依賴雲端的遙測，並沒有傳統意義上的本地主防；與其它 防毒相比，WD 的網路/網頁防護稍嫌薄弱，而且只能與微軟 Browser 連動，也沒有其它 多樣化的安全功能；為了控制誤報率，未知病毒一定要經過 MMPC 分析，確定為威脅才會 阻止。另一個角度來說，雖然 WD 對 PUA 等低威脅一向採取消極態度，但當真正遇到高 度危害時，尤其是具有大規模感染性病毒，WD 清毒能力是非常強的，再加上 WD 是少數 擁有驅動級 Antirootkit 引擎的防毒，修復系統以及清除能力絕對是一等一。綜上所述 ，我認為 WD 的防毒架構非常優秀，但礙於微軟低誤報+低威脅不殺的策略，它確實只適 合習慣良好的人使用 對一般人而言 WD 的介紹就到這邊，但下面想稍微聊一下 WD 企業級服務 Windows Defender Advanced Threat Protection（ATP），因為微軟把所有的黑科技都放在這項服 務上，個人版充其量只是收集樣本的白老鼠而已 https://i.imgur.com/byPWs3L.png WD ATP 簡單講就是將用戶在 Windows 10 中的一切操作行為與雲端連動，小到檔案總管 瀏覽的資料夾、看了什麼網頁、再到註冊檔、執行的程式一舉一動全部即時上傳到雲端， 由微軟強大的機器學習自動化分析這些資訊，如果發現威脅直接遙測阻止 https://i.imgur.com/dEhKhv6.jpg https://i.imgur.com/tvSr3MF.jpg 大家可能會好奇，這跟 DSS 的遙測有何不同？基本上 DSS 針對的是單一未知可疑程式， 再發送到 MMPC 請求鑑定；但 ATP 是一個全方位的傳感器，會對系統內部做深度分析。 當開啟 ATP 時，WD 會添加名為 mssecflt 的驅動，屬於 FS Filter 類別，專門負責 Kernel 層的行為監控 https://i.imgur.com/EgL277m.jpg https://i.imgur.com/AN4fTuS.jpg ATP 的監控點非常全面，是 DSS 遠遠比不上的。圖為雲控制面板的相關記錄 https://i.imgur.com/xPtRgGk.jpg 主傳感器（MSSENSE）包含的傳感器事件 https://i.imgur.com/5PBXVBa.jpg https://i.imgur.com/QnjJioF.jpg 可以利用微軟帳戶加入子客戶端，主客戶端可以看到子客戶操作的一舉一動 https://i.imgur.com/4PrO2OS.jpg 連接的 IP 會被深度解析，顯示 IP 的詳細信息以及對應域名 https://i.imgur.com/LD5BLmU.jpg 發現未知文件，還可以立刻調用 VT 檢測 看到這，有沒有覺得很厲害呢？ 要特別提 WD ATP 的原因是，上面介紹了這麼多款防毒，也多次講解了主防的概念。但現 階段的主防，要嘛是純本地的，不然就是主防與雲連動，或者是像紅傘 APC、咖啡 Real Protect 上傳文件或部分資訊檢測（還稱不上主防） 而微軟的 ATP 照目前釋出的資料來看，應該是唯一一款真正的純雲主防，可惜只有企業 能使用，而且一年的訂購費用要價不貲，現階段剛起步也有不少 bug。但目前微軟幾乎把 所有的安全部門資源投入到 ATP 項目中，所以其進步幅度是非常快的。或許不久的將來 ，部分的技術也會下放到個人版 WD，讓我們拭目以待 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.185.3 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1495824327.A.84D.html