為什麼這篇趨勢防毒 誤判鄉民發文收入到精華區:因為在趨勢防毒 誤判這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者KotoriCute (Lovelive!)看板AntiVirus標題[討論] 2017各款防毒...
在巴哈看一篇關於各家防毒軟體的技術分析文章就轉過來
如果有轉載需求請記得附上以下原始網址
※本文發佈於巴哈姆特電應板以及部落格 IT Works,轉貼請附上原文連結
https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488
--
https://i.imgur.com/5GERO6f.png
Trend Micro(80分):美系三大防毒趨勢、諾頓、邁克菲都有兩個特點:其一是重視防
勝於殺,查殺能力較弱;第二是雲端大於本地,離線後防毒效果大幅減弱
https://i.imgur.com/kEBleCH.png
趨勢科技的核心概念有三朵雲:「Email Reputation Service 電子郵件信譽評等服務
(ERS)」、「Web Reputation Service 網頁信譽評等服務 (WRS)」及「File
Reputation Service 檔案信譽評等服務 (FRS)」,這三個組成了主動式雲端攔截技術(
Smart Protection Network)
https://i.imgur.com/ZMOK3CO.jpg
ERS:根據寄件者(郵件伺服器)的 IP 位址的信譽評等資訊,在收信前進行檢測,有效
攔截病毒信件
運作概念示意
http://www.trendmicro.com.tw/spn/overall/popup/09.asp
WRS:根據網頁伺服器的信譽評等資訊,對連結網頁進行檢測,確實封鎖惡意連結
運作概念示意
http://www.trendmicro.com.tw/spn/overall/popup/08.asp
FRS:根據檔案的信譽評等資訊,自動下載並分析檔案內容
運作概念示意
http://www.trendmicro.com.tw/spn/overall/popup/10.asp
三種信譽評等服務之間可相互交流資訊。例如發現釣魚信件時,該信件中連結網址的資訊
將被傳送到 WRS 網頁信譽評等服務資料庫,一經判定為惡意網頁,即會被登錄在 WRS 網
頁信譽評等服務資料庫中。若在此網頁中發現藏有惡意檔案時,此資訊將會傳送到 FRS
檔案信譽評等服務資料庫。並且同時將相關來源或檔案登錄在資料庫中
https://i.imgur.com/JWiYlRC.png
資料庫關聯性分析
http://www.trendmicro.com.tw/spn/overall/popup/05_02.asp
總的來說,SPN 的運作方式就是三個雲資料庫隨時跟用戶端保持雙向溝通,當某一位用戶
受到威脅時,其安全資訊會反饋到雲端資料庫。例如 ERS 收到惡意郵件,SPN 會反向追
蹤「哪些伺服器也在發送這份郵件」、「郵件連結到哪些網站」、「網站上有哪些其他文
件」,它把相關訊息分配給 WRS、FRS 分析,做更深入的追查。 WRS 會詳細追查其他關
聯網站,再反向追查其他網站的文件,進而交給 FRS 判定文件是否為惡意程式。單一用
戶的安全威脅透過雲端即時回饋到全體的趨勢使用者,這樣一來就會建立起龐大的信譽評
分機制
https://i.imgur.com/V2A3MaT.png
SPN 主動式雲端攔截技術介紹影片,日文妹子發音 (重點誤
http://www.trendmicro.com.tw/spn/movie/structure/index.asp
再來說本地防護,上面提到美系防毒不重視啟發和查殺,其中趨勢80%的特徵碼放在雲端
,本地只保留20%,所以斷網會更弱。趨勢是用企業級的概念打造個人版防毒,每一個客
戶都是一個子端,子端所瀏覽的網頁、下載的附件都必須經過主端的嚴格過濾,理論上所
有威脅都應該在第一層的網路入口被擋下來,但萬一威脅還是進入到本地端該怎麼辦?趨
勢有兩套方法:
1.信譽殺:在高安全模式下,只要 SPN 沒有檢測過的文件都會被封鎖,經過檢測的檔案
才能開啟,當然這不代表遭封鎖的文件就是病毒。例如自己製做一個空白的 exe,趨勢也
會予以攔截
https://i.imgur.com/qWba9t5.png
行為防護:大約2009年的版本趨勢具有簡單的 HIPS,像是攔截註冊表和文件的修改,根
據特定規則 RD+FD 防護,彈窗時需要使用者手動確認放行。後來收購 Third Brigate 後
趨勢開始發展主防技術,現在主防已經做到相當智能,並沒有任何設置選項
https://i.imgur.com/7XfR6Nc.jpg
由於大多數攻擊由雲端來防護,趨勢的主防只對特定規則(重大系統威脅)攔阻。至於怎
麼判斷哪些是雲端信譽封鎖?哪些是基於主防攔截?只要是藍色彈框並提示「未經授權的
更改」就是主動防禦的效果,且主防攔截後會附帶回滾,而信譽封鎖不帶回滾也不會清除
衍生物
單看 AVC 的真實世界防護測試,趨勢往往是成績名列前茅的冠軍,然而真像是──所有
送測的防毒軟體,都會把防護模式開到最高,例如卡巴和 ESET 的高啟發,而趨勢就是「
高安全性模式」。上面已經解釋了趨勢的安全鑑別並不是基於病毒碼、啟發、行為判斷,
而是檔案信譽。這就產了一個問題,只要沒經過趨勢檢測過的檔案都無法執行,像是一些
小眾軟體,這種非黑即白的判斷方式也伴隨著高誤判率。另外它的主防會擅自更改系統設
置,像是 UAC 和 Windows Update,就算在組策略禁用後也會被開啟,這點我相當不喜歡
https://i.imgur.com/dS0L9RU.png
期間大量讀寫磁碟和網路上下傳,估計是將資料傳回雲端作鑑別
趨勢是一款相當難評價的防毒,雖然在「高安全性(白名單概念)」下幾乎不可能中毒,
然而誤判率也高;而「中安全性(黑名單)」只會攔截明確的風險行為,但我們知道趨勢
的查殺和啟發非常弱,這種模式下中毒風險提高很多(所以後來又多了一個自動切換防護
層級)。我認為趨勢比較適合電腦沒有太多冷門軟體,而且習慣良好的用戶
簡單概括
「中安全性」= 黑名單 + Aegis 主防(無雲連動)
「高安全性」= 不在雲白名單內的軟體全封鎖
「自動切換」= Aegis + 少量雲信譽(雲優先級高於 Aegis,遇到威脅頻發就調整為高安
全模式)
https://i.imgur.com/lmoBeO1.jpg
Symantec(80分):賽門鐵克是全球最大的資安公司,齊下分為兩套產品,以公司為名的
企業品牌賽門鐵克以及個人版諾頓。身為美系防毒賽門鐵克跟趨勢一樣,防重於殺,查殺
能力較弱,其中個人版諾頓70%病毒特徵放在雲端,離線後防護能力會減弱,企業版賽門
鐵克依然保有完整的本地特徵庫。
https://i.imgur.com/3bXWSq4.png
無論是企業版還是個人版除了組件的版本不同,防護策略部分有做調整外,主要的功能是
大同小異,分為五個部份:
文件防護:包含傳統的特徵庫和啟發式技術
網路防護:基於網路層的漏洞防護和入侵防禦
行為檢測:就是主防元件,根據行為特徵庫防止未知威脅
信譽評鑑:用大數據來對文件進行評分,可以參考趨勢
修復系統:清除感染後的修復流程,每款防毒都有
以下是具體介紹
文件防護包括:
防毒引擎:利用病毒碼抵禦最新威脅
自動防護:文件監控
啟發式引擎:Malheur & Bloodhound 兩種。常規檢測使用 Malheur 引擎,報法 MH.xx;
漏洞/exploit 使用 Bloodhound 引擎
https://i.imgur.com/GPPxot1.png
脫殼引擎:可重覆達上百次的脫殼動作
通用虛擬機:即動態啟發,包含檢測腳本(detection scripts)和通用脫殼邏輯(
un-packer logic)
反多態引擎:Anti-Polymorphic 好像並沒有固定的中文專有名詞,就直譯成多態引擎了
。簡而言之,就是同一個惡意軟體,入侵至不同的電腦時,產生的文件是不同的(File
CRC),以此來逃避傳統檢測方式
高級啟發式引擎:結合本地/雲端啟發和信譽評鑑,並且根據情景調整靈敏度,譬如啟發
式對新下載的文件比已安裝的應用程式靈敏的多....
諾頓在2016年的版本,對底層的驅動引擎進行了大改版,取而代之的是新 Static Data
Scanner 引擎,關於 SDS 引擎的技術細節官方並沒有透露太多,可以肯定的是對於病毒
庫和入庫報法進行了大幅優化;例如2015年8月諾頓的特徵碼總數高達4198萬,但2016年6
月特徵庫數量被削減到只剩560萬,相當驚人
2015年9月諾頓開始加入 SAPE 報法,例如 SAPE.Heur.xxxx。據推測諾頓為了將病毒庫精
簡,開始用了新的啟發定義。以往諾頓病毒庫之所以龐大無章,很大原因是採用應急性的
暴力入庫,即 Trojan.Gen,簡單說就是將 MD5 或 SHA1 拉黑,之後再慢慢創建具體的特
徵庫。這種方式最明顯的缺點除了特徵庫肥大,Trojan.Gen 的樣本在未歸類前,都可透
過改 MD5 來達到免殺的效果
而 SAPE 應該是透過機器學習和大數據,將相似樣本的特徵直接提取達到入庫識別,好處
是可以簡單辨識樣本的性質,也提升了識別能力(不容易被免殺)以及優化特徵庫體積。
以往賽門鐵克(簡稱鐵殼)家族的防毒最被詬病的病毒檢測率在新的 SDS 引擎架構以及
新 SAPE 啟發法後,應該會有大幅度的進步才是
網路防護包括:
網路入侵防禦:大名鼎鼎的 IPS,是一種流量掃描抵禦漏洞攻擊,但又跟一般防毒用完整
特徵庫的流量掃描不同,諾頓的流量掃描只針對網路攻擊和漏洞,它有自己的 IPS 特徵
庫,目前特徵庫高達2000多條入侵定義,包含一些常見的入侵漏洞(IE、Chrome、
Firefox、Flash、Java 以及一般的惡意 iframe、JS)
講得通俗點,一般的防毒所謂的流量掃描是基於 http 的數據過濾,會用整個特徵庫去比
對傳輸協議中,是否包含惡意代碼並將之攔截
諾頓的 IPS 記錄的是入侵行為定義,只有當 Web 含有明確的攻擊行為才予以攔截,這也
是為什麼,下載帶病毒的壓縮包諾頓不一定會阻止的原因
事實上諾頓官方將 IPS 稱為虛擬的漏洞補丁,因為這些入侵定義相當於 EMET、HMPA 這
類 Exploit Prevention 軟體的效果。舉一個例子,在 CVE-2015-2590 這個 Java 遠程
安全漏洞中,攻擊者利用禁用 Java Security Manager 來入侵電腦,諾頓的 IPS 可以在
一天之內藉由即時更新入侵定義來保護使用者,一般人則必須等待 Oracle(開發 Java
的公司)發行修補程式,至少得多等兩天才能倖免於攻擊
https://i.imgur.com/8n0GpDE.png
除此之外,它還能防範許多 Exploit 攻擊手段,例如常見的 Heap Spray—在預先確定的
記憶體位置插入惡意代碼,當有漏洞的第三方程式(通常是 Web Browser 或它的套件)
執行時便會啟動。而 IPS 底下的主動漏洞防護模塊(PEP)會以插入良性代碼的方式先填
補這些記憶體位置,來阻止這些惡毒攻擊
鐵殼是少數帶有完整的 Exploit Prevention 模塊的防毒軟體,IPS 的核心是一個通用的
Exploit 攔截引擎(Generic Exploit Blocking (GEB)),使用諾頓就沒必要再裝 HMPA
、EMET 了,就算裝了也可能會有隱性衝突。在所有防毒中,對於漏洞預防諾頓相對出色
許多
瀏覽器保護:它能夠監控瀏覽器內的惡意代碼執行,因此得以檢測繞過上一層防護的攻擊
,另外也包含了網頁信譽
未經授權的下載保護:基於網路層的最後一道防線,同樣防護未知和未修補的漏洞,但不
使用 GEB 簽名(IPS 定義),主要是攔截可疑的 API 調用來避免惡意軟體偷渡下載
行為檢測 Sonar
https://i.imgur.com/ze2BXFw.png
全名為 Symantec Online Network for Advanced Responce,看名子就知道,諾頓的主防
必須連網才能發揮最大功效,它會與各種模塊連動,包括特徵碼、啟發、IPS、防火牆、
雲端信譽。例如當一個文件信譽很低時,Sonar 會調高敏感度,發現可疑行為時立刻清除
;又例如被啟發報毒時,也會呼叫 Sonar 回滾破壞
Sonar 是鐵殼系統的最後一道防線,它防禦目標包含了病毒、木馬間諜、殭屍網路、漏洞
注入、Zero-day、偷渡式下載、rootkit 這些所有的攻擊方式,也就是說就算病毒通過了
文件防護的掃描(特徵庫、啟發)、網路防護的檢測(IPS),到達了本地執行時 Sonar
還是會再檢查一次,而且是實時對記憶體中的程式進行監控,有惡意行為時立刻阻止且回
滾修復
至於 Sonar 本身判斷惡意程式的方法有兩種,一種是用機器學習來分析雲端大數據中的
資料,智能地識別惡意攻擊,報法是 SONAR.Heuristic.XXX,也就是常說的雲啟發或雲
AI;另一種則是基於規則的啟發定義,又分為一般的行為簽名和行為策略攔截,詳細的
定義可以參考
https://www.symantec.com/security_response/landing/azlisting.jsp?azid=S
在我寫這篇文章時,關於 Sonar 的啟發簽名共有780條定義
在某些情況下,病毒會深度嵌入合法的應用程式或作業系統本身,這時後強硬刪除會伴隨
著極大風險(死機、系統不穩定...)。於是 Sonar 會製造一個虛擬機(virtual
sandbox),將被感染的檔案導入其中修復,讓它們不影響使用,該過程是全自動,而且
你可能不會注意到
信譽評鑑
https://i.imgur.com/z1AwT1t.png
將用戶匿名提交的資料,通過統計社會學的方法來對文件進行分級,它會蒐集以下訊息:
.用戶電腦上發現的應用程式(SHA2 哈希值)
.分析網路上的檔案來源
.是否有數字簽名
.文件出現在網路上的時間
.其他有關屬性
這些訊息會被存放在雲端組成一個大型的信譽模型,當客戶端需要時便於提供,例如諾頓
的下載掃描就會檢查文件的評級,聲譽不好立即阻止下載
依照諾頓的文宣理論上會降低誤報,但實際上該功能就是諾頓長久以來被戲稱為萬物殺的
原因。就拿下載掃描的評判基準來說明,當一個新文件被放到網路上時,由於下載人數過
少,諾頓會直接阻止下載,直到一周或一個月後,下載的人變多(共有率提高)信譽系統
才會放行。這種寧可錯殺百也不放過一的防禦策略,加上美系防毒一項將盜版和破解視為
毒蛇猛獸,讓諾頓獲得了萬物殺的美名…
最後說一下鐵殼企業版 SEP 和個人版諾頓大概的差異,除了上述提到的 SEP 有本地病毒
庫之外,企業的組件大概落後個人版一到兩個版本,整體掃毒、主防弱於個人版;企業版
也沒有網頁信譽,IPS 少了壓縮檔監控。但是 SEP 擁有相當強悍的 CMC Firewall,自訂
性極高,這是個人版只能依靠 symnets.sys 驅動控制連網遠遠比不上的;而且 SEP 每個
組件都可以自定義安裝,加上永久免費(相信這才是很多人在意的)讓不少個人用戶選擇
使用企業版 SEP
https://i.imgur.com/ixzN8eC.png
整體而言,諾頓的查殺偏弱且誤報高(新的 SDS 引擎多少有改進);但防禦能力強,對
於網路攻擊和漏洞防護在防毒中是一等一的。我對它的評價跟趨勢差不多,適合習慣良好
不裝盜版軟體的用戶
https://i.imgur.com/UyemPl3.png
AVG Internet Security(80分):免費 3A 中最早擁有主防的防毒軟體,筆者付費版用
了快兩年了,對於此防毒的特性感受相當深刻,下面將逐一介紹各模塊的功能
https://i.imgur.com/uLbwELz.png
AVG 的防護分為五大項
反病毒保護:基於特徵庫和啟發的實時檢測
網頁瀏覽:分成 LinkScanner 和 OnlineShield 兩項目
身分:中文翻譯取名實在很爛,這玩意就是主防 IDP,是五大項最核心的功能,也是
AVG 自豪的看家本領,少了它防護至少打四折
電子郵件:附件病毒檢測和垃圾郵件分類,只支持 Outlook 等本地收件軟體
防火牆:Outpost OEM 版本,全自動智能的防火牆
反病毒保護檢測方法
.已知病毒的簽名掃描
.多態檢測引擎(請參考諾頓多態檢測的說明)
.啟發式分析:分成靜態和動態啟發
檢測順序由上至下,另外當文件被預處理和引用時,如果被認為不需要進行分析(例如白
名單中的檔案),那麼掃描將不會啟動以提高執行效率
至於實時檢測(平時的系統監控,非手動掃描)又分兩種
https://i.imgur.com/xVkpyVZ.png
.Resident Shield:當文件被複製或執行時對其進行掃描,檢測到病毒會阻止打開受感
染的文件。它也會儲存檢查過的檔案訊息,如果沒有被修改過下次將忽略這些文件
https://i.imgur.com/gH1Rb5Z.png
.Anti-Rootkit:會分析調用的任何系統程序以及更深入的核心系統,以分析可能的
rootkit 存在
網頁瀏覽
https://i.imgur.com/UT0lDtu.png
.LinkScanner:有點類似諾頓的 IPS 但不帶流量掃描,是基於專門的 exploits 特徵庫
對 URL 進行過濾,如果網頁有惡意代碼將進行攔截
.Online Shield:真正意義上的流量掃描,會用本地的病毒庫掃描網頁中任何的代碼和
程式,病毒下載到電腦前就會先行攔截,也支持 Skype 等即時通訊軟體。付費版才有的
功能
兩者的區別在於 LinkScanner 針對的是 iframe、JS 等攻擊腳本,並用 URL 去過濾;
Online Shield 則是抓著整個病毒庫去掃描網頁中的任何元素,另外也包含釣魚網站
身分(主防)
IDP 是標準的規則式主防,主防的定義不再講解了,請自行看前面的介紹
比較特別的是,由於 AVG 是模塊化設計,所以主防本身可以單獨工作(不像諾頓組件互
相被綁死),這也讓有些人透過特殊方法提取出 IDP 或者 LinkScanner 去搭配其它防毒
;話雖如此 IDP 還是會與其它組件連動,只是依賴性不高,例如文件掃描發現到病毒,
會呼叫 IDP 進行恢復破壞,同時防火牆會封鎖可疑的連線
遇到可疑程式但沒觸動到啟發的情況下,IDP 也會從雲端查詢文件的信譽,降低誤判的可
能
順便說個有趣的歷史,IDP 的前身是 Norton AntiBot,是 AVG 向諾頓購買主防技術,之
後再自行改良加強而來
https://i.imgur.com/hb5MjAB.jpg
防火牆
Outpost OEM 版本,AVG 把它調校相當智能。當檢測到連接企圖時,防火牆會同時向雲端
信譽庫和本地病毒庫查詢資料,如果為惡意軟體或有安全風險時會自動封鎖
另一種情況是,軟體被識別為安全程式,但簽名破損或無數字簽名(常見於被修改的原版
軟體),防火牆也會阻止連線
幾個判斷標準
.是否為病毒木馬
.有無安全風險(危險係數)
.數字簽名
防火牆會自動在背景工作,平時很難感受到它的存在,如果不放心的話,也提供手動的交
互模式讓使用者選擇
整體而言 AVG 表現得中規中矩,論掃毒和啟發不如同為歐系的紅傘、BD、FS,但卻比美
系趨勢、咖啡好;主防攔截率一般,帶有回滾而且修復成功率極高;防火牆相當智能。如
果說 AVG 的掃毒、主防、防火牆分別只有70分,全部加起來就有超過80分的防護能力:
例如病毒過了網頁防護,到了本地也要經過掃毒引擎的檢測,就算過了掃毒主防 IDP 也
會即時攔截
AVG 還有一項優勢,就是各項組件依賴性低,而且離線防護能力高。AVG 各組件雖然會協
同工作,但因為模組化,並不會因為關閉掃毒引擎就造成主防或防火牆失效的情況發生,
各組件能獨立工作,互相協調但互不干涉。AVG 的雲端僅供信譽查詢,不俱備特徵庫或啟
發,主要的防護依然在本地發生,就算是離線也不影響防毒效果
AVG 的防護算是做得面面俱到,卻沒有過多花俏功能,對於新功能的添加也一直很謹慎,
這三年裡除了2016年加入了 AI Detection(似乎是從收集的匿名資料進行遙測機器學習
,官方沒釋出白皮書),並沒有任何明顯的改版動作,幾乎都是底層的優化和規則的更新
較多
如果你跟我一樣,喜歡實用、不花俏、離線防護能力高,那麼 AVG 推薦給你。AVG 也是
免費3A 中最早擁有完整主防的防毒,算是相當佛心
附註:由於 Avast 收購 AVG 的關係,最新的 AVG 2017 已改為使用 Avast 的掃毒引擎
和網頁防護架構(2016還是可以繼續用);而 Avast 本家也預計加入 AVG 的主防。未來
的 Avast、AVG 可能只是名子不同,但骨子裡是一樣的東西
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.185.3
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1495824158.A.4F6.html
→ sismiku: 推 05/27 03:54
→ ross800127: 趨勢應該算是日皮台骨的公司 美國也沒多少用戶... 05/27 06:53
→ DINJIAPC: Idp說錯了當年idp是直接收購某家業者的產品,諾頓的sonar 05/28 17:14
→ DINJIAPC: 在之後確定avg搶走該廠商作品後才不得已重新發展推出的, 05/28 17:14
→ DINJIAPC: 約在2009年前後 不過當初推出的sonar功能兩光 連個flash 05/28 17:14
→ DINJIAPC: get 的開機項都無法完全攔截 05/28 17:14
推 DINJIAPC: Sana Serurity 被avg收購後... 05/28 17:21
→ DINJIAPC: 不過avg對破解與序號機太堅持了 就是加入例外 也仍然會 05/28 17:24
→ DINJIAPC: 開機後跳窗問你要如何處理 哪類kms工具就gg了 05/28 17:24
→ hibemi776: Trend給80?你有問過企業管理者有沒有想吐血??? 05/29 22:54
推 DINJIAPC: 應該說作者均是以小企業用戶端點與消費者個人版做考量, 05/31 01:52
→ DINJIAPC: 企業版趨勢的端點功能太弱了 05/31 01:53