apex one白名單 在 コバにゃんチャンネル Youtube 的最佳貼文
「apex one白名單」的推薦目錄:
- 關於apex one白名單 在 コバにゃんチャンネル Youtube 的最佳貼文
- 關於apex one白名單 在 大象中醫 Youtube 的最佳解答
- 關於apex one白名單 在 大象中醫 Youtube 的最佳貼文
- 關於apex one白名單 在 [討論] 2017各款防毒軟體技術原理剖析(80分組) - 看板AntiVirus 的評價
- 關於apex one白名單 在 apex one白名單在PTT/Dcard完整相關資訊 的評價
- 關於apex one白名單 在 apex one白名單在PTT/Dcard完整相關資訊 的評價
- 關於apex one白名單 在 最仔細最詳盡的Launchpad教學| BYBIT的乖孫子APEX - YouTube 的評價
- 關於apex one白名單 在 鏈新聞- 【 活動分享|老牌錢包TokenPocket送NFT白名單 ... 的評價
- 關於apex one白名單 在 [問題] 防毒軟體偵測LOL有毒要怎麼辦? - PTT評價 的評價
apex one白名單 在 apex one白名單在PTT/Dcard完整相關資訊 的推薦與評價
關於「apex one白名單」標籤,搜尋引擎有相關的訊息討論:. 設定信任的程式清單- Trend MicroTrend Micro Apex One™ Security Agent 線上說明. ... <看更多>
apex one白名單 在 apex one白名單在PTT/Dcard完整相關資訊 的推薦與評價
關於「apex one白名單」標籤,搜尋引擎有相關的訊息討論:. 設定信任的程式清單- Trend MicroTrend Micro Apex One™ Security Agent 線上說明. ... <看更多>
apex one白名單 在 [討論] 2017各款防毒軟體技術原理剖析(80分組) - 看板AntiVirus 的推薦與評價
在巴哈看一篇關於各家防毒軟體的技術分析文章就轉過來
如果有轉載需求請記得附上以下原始網址
※本文發佈於巴哈姆特電應板以及部落格 IT Works,轉貼請附上原文連結
https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488
--
Trend Micro(80分):美系三大防毒趨勢、諾頓、邁克菲都有兩個特點:其一是重視防
勝於殺,查殺能力較弱;第二是雲端大於本地,離線後防毒效果大幅減弱
趨勢科技的核心概念有三朵雲:「Email Reputation Service 電子郵件信譽評等服務
(ERS)」、「Web Reputation Service 網頁信譽評等服務 (WRS)」及「File
Reputation Service 檔案信譽評等服務 (FRS)」,這三個組成了主動式雲端攔截技術(
Smart Protection Network)
ERS:根據寄件者(郵件伺服器)的 IP 位址的信譽評等資訊,在收信前進行檢測,有效
攔截病毒信件
運作概念示意
https://www.trendmicro.com.tw/spn/overall/popup/09.asp
WRS:根據網頁伺服器的信譽評等資訊,對連結網頁進行檢測,確實封鎖惡意連結
運作概念示意
https://www.trendmicro.com.tw/spn/overall/popup/08.asp
FRS:根據檔案的信譽評等資訊,自動下載並分析檔案內容
運作概念示意
https://www.trendmicro.com.tw/spn/overall/popup/10.asp
三種信譽評等服務之間可相互交流資訊。例如發現釣魚信件時,該信件中連結網址的資訊
將被傳送到 WRS 網頁信譽評等服務資料庫,一經判定為惡意網頁,即會被登錄在 WRS 網
頁信譽評等服務資料庫中。若在此網頁中發現藏有惡意檔案時,此資訊將會傳送到 FRS
檔案信譽評等服務資料庫。並且同時將相關來源或檔案登錄在資料庫中
資料庫關聯性分析
https://www.trendmicro.com.tw/spn/overall/popup/05_02.asp
總的來說,SPN 的運作方式就是三個雲資料庫隨時跟用戶端保持雙向溝通,當某一位用戶
受到威脅時,其安全資訊會反饋到雲端資料庫。例如 ERS 收到惡意郵件,SPN 會反向追
蹤「哪些伺服器也在發送這份郵件」、「郵件連結到哪些網站」、「網站上有哪些其他文
件」,它把相關訊息分配給 WRS、FRS 分析,做更深入的追查。 WRS 會詳細追查其他關
聯網站,再反向追查其他網站的文件,進而交給 FRS 判定文件是否為惡意程式。單一用
戶的安全威脅透過雲端即時回饋到全體的趨勢使用者,這樣一來就會建立起龐大的信譽評
分機制
SPN 主動式雲端攔截技術介紹影片,日文妹子發音 (重點誤
https://www.trendmicro.com.tw/spn/movie/structure/index.asp
再來說本地防護,上面提到美系防毒不重視啟發和查殺,其中趨勢80%的特徵碼放在雲端
,本地只保留20%,所以斷網會更弱。趨勢是用企業級的概念打造個人版防毒,每一個客
戶都是一個子端,子端所瀏覽的網頁、下載的附件都必須經過主端的嚴格過濾,理論上所
有威脅都應該在第一層的網路入口被擋下來,但萬一威脅還是進入到本地端該怎麼辦?趨
勢有兩套方法:
1.信譽殺:在高安全模式下,只要 SPN 沒有檢測過的文件都會被封鎖,經過檢測的檔案
才能開啟,當然這不代表遭封鎖的文件就是病毒。例如自己製做一個空白的 exe,趨勢也
會予以攔截
行為防護:大約2009年的版本趨勢具有簡單的 HIPS,像是攔截註冊表和文件的修改,根
據特定規則 RD+FD 防護,彈窗時需要使用者手動確認放行。後來收購 Third Brigate 後
趨勢開始發展主防技術,現在主防已經做到相當智能,並沒有任何設置選項
當年版本的 HIPS 設置項
由於大多數攻擊由雲端來防護,趨勢的主防只對特定規則(重大系統威脅)攔阻。至於怎
麼判斷哪些是雲端信譽封鎖?哪些是基於主防攔截?只要是藍色彈框並提示「未經授權的
更改」就是主動防禦的效果,且主防攔截後會附帶回滾,而信譽封鎖不帶回滾也不會清除
衍生物
單看 AVC 的真實世界防護測試,趨勢往往是成績名列前茅的冠軍,然而真像是──所有
送測的防毒軟體,都會把防護模式開到最高,例如卡巴和 ESET 的高啟發,而趨勢就是「
高安全性模式」。上面已經解釋了趨勢的安全鑑別並不是基於病毒碼、啟發、行為判斷,
而是檔案信譽。這就產了一個問題,只要沒經過趨勢檢測過的檔案都無法執行,像是一些
小眾軟體,這種非黑即白的判斷方式也伴隨著高誤判率。另外它的主防會擅自更改系統設
置,像是 UAC 和 Windows Update,就算在組策略禁用後也會被開啟,這點我相當不喜歡
用最新的勒索病毒實測,趨勢確實能完美阻擋。但點擊樣本後延遲三分鐘左右才有反應,
期間大量讀寫磁碟和網路上下傳,估計是將資料傳回雲端作鑑別
趨勢是一款相當難評價的防毒,雖然在「高安全性(白名單概念)」下幾乎不可能中毒,
然而誤判率也高;而「中安全性(黑名單)」只會攔截明確的風險行為,但我們知道趨勢
的查殺和啟發非常弱,這種模式下中毒風險提高很多(所以後來又多了一個自動切換防護
層級)。我認為趨勢比較適合電腦沒有太多冷門軟體,而且習慣良好的用戶
簡單概括
「中安全性」= 黑名單 + Aegis 主防(無雲連動)
「高安全性」= 不在雲白名單內的軟體全封鎖
「自動切換」= Aegis + 少量雲信譽(雲優先級高於 Aegis,遇到威脅頻發就調整為高安
全模式)
Symantec(80分):賽門鐵克是全球最大的資安公司,齊下分為兩套產品,以公司為名的
企業品牌賽門鐵克以及個人版諾頓。身為美系防毒賽門鐵克跟趨勢一樣,防重於殺,查殺
能力較弱,其中個人版諾頓70%病毒特徵放在雲端,離線後防護能力會減弱,企業版賽門
鐵克依然保有完整的本地特徵庫。
無論是企業版還是個人版除了組件的版本不同,防護策略部分有做調整外,主要的功能是
大同小異,分為五個部份:
文件防護:包含傳統的特徵庫和啟發式技術
網路防護:基於網路層的漏洞防護和入侵防禦
行為檢測:就是主防元件,根據行為特徵庫防止未知威脅
信譽評鑑:用大數據來對文件進行評分,可以參考趨勢
修復系統:清除感染後的修復流程,每款防毒都有
以下是具體介紹
文件防護包括:
防毒引擎:利用病毒碼抵禦最新威脅
自動防護:文件監控
啟發式引擎:Malheur & Bloodhound 兩種。常規檢測使用 Malheur 引擎,報法 MH.xx;
漏洞/exploit 使用 Bloodhound 引擎
脫殼引擎:可重覆達上百次的脫殼動作
通用虛擬機:即動態啟發,包含檢測腳本(detection scripts)和通用脫殼邏輯(
un-packer logic)
反多態引擎:Anti-Polymorphic 好像並沒有固定的中文專有名詞,就直譯成多態引擎了
。簡而言之,就是同一個惡意軟體,入侵至不同的電腦時,產生的文件是不同的(File
CRC),以此來逃避傳統檢測方式
高級啟發式引擎:結合本地/雲端啟發和信譽評鑑,並且根據情景調整靈敏度,譬如啟發
式對新下載的文件比已安裝的應用程式靈敏的多....
諾頓在2016年的版本,對底層的驅動引擎進行了大改版,取而代之的是新 Static Data
Scanner 引擎,關於 SDS 引擎的技術細節官方並沒有透露太多,可以肯定的是對於病毒
庫和入庫報法進行了大幅優化;例如2015年8月諾頓的特徵碼總數高達4198萬,但2016年6
月特徵庫數量被削減到只剩560萬,相當驚人
2015年9月諾頓開始加入 SAPE 報法,例如 SAPE.Heur.xxxx。據推測諾頓為了將病毒庫精
簡,開始用了新的啟發定義。以往諾頓病毒庫之所以龐大無章,很大原因是採用應急性的
暴力入庫,即 Trojan.Gen,簡單說就是將 MD5 或 SHA1 拉黑,之後再慢慢創建具體的特
徵庫。這種方式最明顯的缺點除了特徵庫肥大,Trojan.Gen 的樣本在未歸類前,都可透
過改 MD5 來達到免殺的效果
而 SAPE 應該是透過機器學習和大數據,將相似樣本的特徵直接提取達到入庫識別,好處
是可以簡單辨識樣本的性質,也提升了識別能力(不容易被免殺)以及優化特徵庫體積。
以往賽門鐵克(簡稱鐵殼)家族的防毒最被詬病的病毒檢測率在新的 SDS 引擎架構以及
新 SAPE 啟發法後,應該會有大幅度的進步才是
網路防護包括:
網路入侵防禦:大名鼎鼎的 IPS,是一種流量掃描抵禦漏洞攻擊,但又跟一般防毒用完整
特徵庫的流量掃描不同,諾頓的流量掃描只針對網路攻擊和漏洞,它有自己的 IPS 特徵
庫,目前特徵庫高達2000多條入侵定義,包含一些常見的入侵漏洞(IE、Chrome、
Firefox、Flash、Java 以及一般的惡意 iframe、JS)
講得通俗點,一般的防毒所謂的流量掃描是基於 http 的數據過濾,會用整個特徵庫去比
對傳輸協議中,是否包含惡意代碼並將之攔截
諾頓的 IPS 記錄的是入侵行為定義,只有當 Web 含有明確的攻擊行為才予以攔截,這也
是為什麼,下載帶病毒的壓縮包諾頓不一定會阻止的原因
事實上諾頓官方將 IPS 稱為虛擬的漏洞補丁,因為這些入侵定義相當於 EMET、HMPA 這
類 Exploit Prevention 軟體的效果。舉一個例子,在 CVE-2015-2590 這個 Java 遠程
安全漏洞中,攻擊者利用禁用 Java Security Manager 來入侵電腦,諾頓的 IPS 可以在
一天之內藉由即時更新入侵定義來保護使用者,一般人則必須等待 Oracle(開發 Java
的公司)發行修補程式,至少得多等兩天才能倖免於攻擊
除此之外,它還能防範許多 Exploit 攻擊手段,例如常見的 Heap Spray—在預先確定的
記憶體位置插入惡意代碼,當有漏洞的第三方程式(通常是 Web Browser 或它的套件)
執行時便會啟動。而 IPS 底下的主動漏洞防護模塊(PEP)會以插入良性代碼的方式先填
補這些記憶體位置,來阻止這些惡毒攻擊
鐵殼是少數帶有完整的 Exploit Prevention 模塊的防毒軟體,IPS 的核心是一個通用的
Exploit 攔截引擎(Generic Exploit Blocking (GEB)),使用諾頓就沒必要再裝 HMPA
、EMET 了,就算裝了也可能會有隱性衝突。在所有防毒中,對於漏洞預防諾頓相對出色
許多
瀏覽器保護:它能夠監控瀏覽器內的惡意代碼執行,因此得以檢測繞過上一層防護的攻擊
,另外也包含了網頁信譽
未經授權的下載保護:基於網路層的最後一道防線,同樣防護未知和未修補的漏洞,但不
使用 GEB 簽名(IPS 定義),主要是攔截可疑的 API 調用來避免惡意軟體偷渡下載
行為檢測 Sonar
全名為 Symantec Online Network for Advanced Responce,看名子就知道,諾頓的主防
必須連網才能發揮最大功效,它會與各種模塊連動,包括特徵碼、啟發、IPS、防火牆、
雲端信譽。例如當一個文件信譽很低時,Sonar 會調高敏感度,發現可疑行為時立刻清除
;又例如被啟發報毒時,也會呼叫 Sonar 回滾破壞
Sonar 是鐵殼系統的最後一道防線,它防禦目標包含了病毒、木馬間諜、殭屍網路、漏洞
注入、Zero-day、偷渡式下載、rootkit 這些所有的攻擊方式,也就是說就算病毒通過了
文件防護的掃描(特徵庫、啟發)、網路防護的檢測(IPS),到達了本地執行時 Sonar
還是會再檢查一次,而且是實時對記憶體中的程式進行監控,有惡意行為時立刻阻止且回
滾修復
至於 Sonar 本身判斷惡意程式的方法有兩種,一種是用機器學習來分析雲端大數據中的
資料,智能地識別惡意攻擊,報法是 SONAR.Heuristic.XXX,也就是常說的雲啟發或雲
AI;另一種則是基於規則的啟發定義,又分為一般的行為簽名和行為策略攔截,詳細的
定義可以參考
https://www.symantec.com/security_response/landing/azlisting.jsp?azid=S
在我寫這篇文章時,關於 Sonar 的啟發簽名共有780條定義
在某些情況下,病毒會深度嵌入合法的應用程式或作業系統本身,這時後強硬刪除會伴隨
著極大風險(死機、系統不穩定...)。於是 Sonar 會製造一個虛擬機(virtual
sandbox),將被感染的檔案導入其中修復,讓它們不影響使用,該過程是全自動,而且
你可能不會注意到
信譽評鑑
將用戶匿名提交的資料,通過統計社會學的方法來對文件進行分級,它會蒐集以下訊息:
.用戶電腦上發現的應用程式(SHA2 哈希值)
.分析網路上的檔案來源
.是否有數字簽名
.文件出現在網路上的時間
.其他有關屬性
這些訊息會被存放在雲端組成一個大型的信譽模型,當客戶端需要時便於提供,例如諾頓
的下載掃描就會檢查文件的評級,聲譽不好立即阻止下載
依照諾頓的文宣理論上會降低誤報,但實際上該功能就是諾頓長久以來被戲稱為萬物殺的
原因。就拿下載掃描的評判基準來說明,當一個新文件被放到網路上時,由於下載人數過
少,諾頓會直接阻止下載,直到一周或一個月後,下載的人變多(共有率提高)信譽系統
才會放行。這種寧可錯殺百也不放過一的防禦策略,加上美系防毒一項將盜版和破解視為
毒蛇猛獸,讓諾頓獲得了萬物殺的美名…
最後說一下鐵殼企業版 SEP 和個人版諾頓大概的差異,除了上述提到的 SEP 有本地病毒
庫之外,企業的組件大概落後個人版一到兩個版本,整體掃毒、主防弱於個人版;企業版
也沒有網頁信譽,IPS 少了壓縮檔監控。但是 SEP 擁有相當強悍的 CMC Firewall,自訂
性極高,這是個人版只能依靠 symnets.sys 驅動控制連網遠遠比不上的;而且 SEP 每個
組件都可以自定義安裝,加上永久免費(相信這才是很多人在意的)讓不少個人用戶選擇
使用企業版 SEP
整體而言,諾頓的查殺偏弱且誤報高(新的 SDS 引擎多少有改進);但防禦能力強,對
於網路攻擊和漏洞防護在防毒中是一等一的。我對它的評價跟趨勢差不多,適合習慣良好
不裝盜版軟體的用戶
AVG Internet Security(80分):免費 3A 中最早擁有主防的防毒軟體,筆者付費版用
了快兩年了,對於此防毒的特性感受相當深刻,下面將逐一介紹各模塊的功能
AVG 的防護分為五大項
反病毒保護:基於特徵庫和啟發的實時檢測
網頁瀏覽:分成 LinkScanner 和 OnlineShield 兩項目
身分:中文翻譯取名實在很爛,這玩意就是主防 IDP,是五大項最核心的功能,也是
AVG 自豪的看家本領,少了它防護至少打四折
電子郵件:附件病毒檢測和垃圾郵件分類,只支持 Outlook 等本地收件軟體
防火牆:Outpost OEM 版本,全自動智能的防火牆
反病毒保護檢測方法
.已知病毒的簽名掃描
.多態檢測引擎(請參考諾頓多態檢測的說明)
.啟發式分析:分成靜態和動態啟發
檢測順序由上至下,另外當文件被預處理和引用時,如果被認為不需要進行分析(例如白
名單中的檔案),那麼掃描將不會啟動以提高執行效率
至於實時檢測(平時的系統監控,非手動掃描)又分兩種
.Resident Shield:當文件被複製或執行時對其進行掃描,檢測到病毒會阻止打開受感
染的文件。它也會儲存檢查過的檔案訊息,如果沒有被修改過下次將忽略這些文件
.Anti-Rootkit:會分析調用的任何系統程序以及更深入的核心系統,以分析可能的
rootkit 存在
網頁瀏覽
.LinkScanner:有點類似諾頓的 IPS 但不帶流量掃描,是基於專門的 exploits 特徵庫
對 URL 進行過濾,如果網頁有惡意代碼將進行攔截
.Online Shield:真正意義上的流量掃描,會用本地的病毒庫掃描網頁中任何的代碼和
程式,病毒下載到電腦前就會先行攔截,也支持 Skype 等即時通訊軟體。付費版才有的
功能
兩者的區別在於 LinkScanner 針對的是 iframe、JS 等攻擊腳本,並用 URL 去過濾;
Online Shield 則是抓著整個病毒庫去掃描網頁中的任何元素,另外也包含釣魚網站
身分(主防)
IDP 是標準的規則式主防,主防的定義不再講解了,請自行看前面的介紹
比較特別的是,由於 AVG 是模塊化設計,所以主防本身可以單獨工作(不像諾頓組件互
相被綁死),這也讓有些人透過特殊方法提取出 IDP 或者 LinkScanner 去搭配其它防毒
;話雖如此 IDP 還是會與其它組件連動,只是依賴性不高,例如文件掃描發現到病毒,
會呼叫 IDP 進行恢復破壞,同時防火牆會封鎖可疑的連線
遇到可疑程式但沒觸動到啟發的情況下,IDP 也會從雲端查詢文件的信譽,降低誤判的可
能
順便說個有趣的歷史,IDP 的前身是 Norton AntiBot,是 AVG 向諾頓購買主防技術,之
後再自行改良加強而來
早期版本的 IDP 和 Norton AntiBot,介面幾乎一樣
防火牆
Outpost OEM 版本,AVG 把它調校相當智能。當檢測到連接企圖時,防火牆會同時向雲端
信譽庫和本地病毒庫查詢資料,如果為惡意軟體或有安全風險時會自動封鎖
另一種情況是,軟體被識別為安全程式,但簽名破損或無數字簽名(常見於被修改的原版
軟體),防火牆也會阻止連線
幾個判斷標準
.是否為病毒木馬
.有無安全風險(危險係數)
.數字簽名
防火牆會自動在背景工作,平時很難感受到它的存在,如果不放心的話,也提供手動的交
互模式讓使用者選擇
整體而言 AVG 表現得中規中矩,論掃毒和啟發不如同為歐系的紅傘、BD、FS,但卻比美
系趨勢、咖啡好;主防攔截率一般,帶有回滾而且修復成功率極高;防火牆相當智能。如
果說 AVG 的掃毒、主防、防火牆分別只有70分,全部加起來就有超過80分的防護能力:
例如病毒過了網頁防護,到了本地也要經過掃毒引擎的檢測,就算過了掃毒主防 IDP 也
會即時攔截
AVG 還有一項優勢,就是各項組件依賴性低,而且離線防護能力高。AVG 各組件雖然會協
同工作,但因為模組化,並不會因為關閉掃毒引擎就造成主防或防火牆失效的情況發生,
各組件能獨立工作,互相協調但互不干涉。AVG 的雲端僅供信譽查詢,不俱備特徵庫或啟
發,主要的防護依然在本地發生,就算是離線也不影響防毒效果
AVG 的防護算是做得面面俱到,卻沒有過多花俏功能,對於新功能的添加也一直很謹慎,
這三年裡除了2016年加入了 AI Detection(似乎是從收集的匿名資料進行遙測機器學習
,官方沒釋出白皮書),並沒有任何明顯的改版動作,幾乎都是底層的優化和規則的更新
較多
如果你跟我一樣,喜歡實用、不花俏、離線防護能力高,那麼 AVG 推薦給你。AVG 也是
免費3A 中最早擁有完整主防的防毒,算是相當佛心
附註:由於 Avast 收購 AVG 的關係,最新的 AVG 2017 已改為使用 Avast 的掃毒引擎
和網頁防護架構(2016還是可以繼續用);而 Avast 本家也預計加入 AVG 的主防。未來
的 Avast、AVG 可能只是名子不同,但骨子裡是一樣的東西
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.185.3
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1495824158.A.4F6.html
... <看更多>