LV. 8
GP 106

RE:【心得】介紹數款冷門防毒軟體~~

樓主 桌上有海豚 OGS4427
GP10 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

2018.1. 10 更新

新的一年把堆積的舊文寫完,這次加入四款安全軟體心得

======分隔線======

Dr.Web KATANA : 俄國佬大蜘蛛推出的下一代主防產品,至於取名叫KATANA可是有一番用意的。縮寫全名為" Kills Active Threats And New Attacks ",透過內建HIPS規則、處理程序防護等手段防堵未知攻擊,簡單說就是大殺四方的武士刀啦!


正在使用大蜘蛛防毒的用戶無需安裝。因為KATANA就是將自家主防的SpIDer Guard分出,加上雲端的HIPS工具。



介面超簡約~ 授權更新等狀態清楚明瞭,沒有花俏的轉場動畫跟複雜裝飾。



設定方面主要是封鎖操作應用程式控管兩大自訂參數,預設值為防護與系統平衡的建議選項,若當前的用戶設定可能與KATANA功能衝突or影響其他程式運作將警告。

Dr.Web Cloud為雲端掃描的必要組件,自我保護選項(蜘蛛最自豪的抗打擊能力) 則可禁止程式修改系統時間&強制關閉防護等危險操作



HIPS設定中可看到一些高風險動作(A注入B處理程序、存取HOST等)預設為封鎖。這裡建議進階使用者調整就好,因為任何觸發HIPS規則的應用程式/處理程序將被攔下,簡單暴力。


筆者以工具模擬(處理程序插入) 時被攔截成功,隨後SpIDer Guard將程式視為惡意:



KATANA主要市場為非Dr.web用戶展示其多步防禦,本身產品線的年經絲毫不影響其強悍表現。鑑於本身設定需要較有經驗的用戶參與,對於HIPS彈性多變數的真實世界保護能力仍需更多資料。

======分隔線======

Panda Free Antivirus (2018 dome) : Panda Security 在 1990 年成立於西班牙,過去商標就是一隻毛茸茸der熊貓。它也是早期傳統市場中,率先採用集體智慧(Collective Intelligence)等雲端技術的老前輩。

雖然它分免費版和付費版兩種版本,但目前最新的v18.04版似乎只在墨西哥跟法國發布。故筆者特別把他載回來介紹~

註: 目前dome先行版只有釋出免費防毒,專業版用戶還得等會



初次安裝時會詢問你要不要安裝Panda自家工具列,還有更改你的預設搜尋引擎及首頁。個人認為此功能相當雞肋,建議取消勾選



新版整個大換裝! 原本的微軟Metro風格改走精緻路線,細線icon與識別色搭配得恰到好處,軟體設定則整合到左上開啟的側邊選單中。

當然啦,咱今天可不是探討介面有多好看,大家最關心還是引擎蓋下的實力如何。



現今市面的防毒軟體大多有檔案類型分煉信任快取等多種引擎調校技術,故無論是掃描速度還是效率都比以前改善很多。

先前介紹的WSA趨勢這類雲端防毒均將大部分檢測工作丟到雲端伺服器中運作,大大降低一般個人電腦的資源消耗,也不需頻繁更新病毒庫,共通缺點是斷網功力砍半



上圖為防毒主要選項,用戶可選擇未知檔案阻擋的最大秒數 (上傳鑑定),意即確認程式是否安全前不會馬上執行。出自效率考量雲端通常不會檢查太久,擔心不周詳者可稍加延時。

熊貓的看家本領 - TruPrevent 由兩個主要技術組成 :

1. 動靜態啟發/基因庫/集體智慧
2. Proteus(海神) 行為阻絕

大多數的惡意軟體能透過更新特徵簽名/啟發來偵測,但這類預先規則難免會有漏報,如下圖未檢出的兩個樣本。



如果一新型惡意軟體能繞過特徵,啟發和HIPS,Proteus就成為把關的最後一道防線。Proteus在執行階段跟踪每個程序所有的操作和API調用,並在進程結束前阻截高風險項。

Proteus收集有關該進程行為的資訊,並分成三個燈號等級:



在最初執行路徑中惡意軟體會嘗試一系列的操作,每個操作都由Proteus關聯。確定程序是否可疑才繼續執行,下圖可看到原先未被檢出的程式在執行後被標記為高度風險,提醒用戶處理:



此外,如果被Proteus或用戶手動阻截的程式曾被排除,內建的信任清單備會撤銷該程式&移動到隔離區。相反被加到信任區的程式即使為病毒也一律視為無害,需多加謹慎!



與其他行為攔截(BB)不同處在於主防完全自動化,Proteus並向最終用戶詢問艱深技術問題: 例如"您是否允許進程xyz向explorer.exe或記憶體地址abc注入工作階段?"

大多數用戶鮮少有這方面知識,以致在安全方面時常不能做出明智的決定。而一些安全產品又常拋出一些非確定性觀點 (詢問操作但不確定程序是否惡意) ,個人認為Panda此舉跟比特的ATC有異曲同工之處,而Panda在排除的彈性/加入管控上略勝一籌。



程序監控也會列出請求的所有網址,如果你跟筆者一樣想調查程式在背後偷偷幹嘛、與哪些外連網址通信,這工具非常好用! 其他諸如USB疫苗、製作救援磁碟等功能有待各位自行體驗。


Panda在國際評測中不算太糟,但仍然有很大的改進空間。首先免費版和收費版在防護全面性上就有相當差距(無防火牆組件/雲端與本機不是每天同步),授權價格也相當昂貴。

身為雲端防毒的領頭羊,扣除斷網檢測率奇差外主防漏毒、無文件回滾這幾點可說是為人詬病。筆者測試過程中也發現即使威脅成功阻止,其衍生物(例如tmp檔)卻無法完全清除

2010年,一個評測網站Tech Radar也在他們的評測中寫道:「我們認為最好把熊貓防毒視為一項預防惡意軟體的工具,而非用來清理已受感染系統的工具。

綜觀而言Panda易於操作但需要長期連網的環境,推薦不折騰黨及公共電腦使用,至於家用者可考慮搭配第二道補防。

======分隔線======

Immunet : 一款免費、基於社群智慧的多引擎雲端防毒,2011年思科子公司Sourcefire收購並導入自家的Threat Grid自動簽名技術,目前全球約三百萬位用戶節點。銷售不佳緣故Plus版在2014年終止支援,所有功能均整合至現有的免費版本。



介面相當精緻,主畫面分為保護及更新兩個區塊,右側還可看到記憶體與CPU使用率。


初次安裝完成後會問你是否進行快閃掃描以檢查潛藏的威脅,建議勾選。



軟體對中低配電腦來說負擔不大,初次掃描後次回明顯變快。



防護設定方面有個執行前封鎖選項,亦即在確認新出現的程式/檔案為安全前不會放行(數秒內),就像機場海關那樣。途中說明有提到若停用選項則會等到程式安裝後才會開始檢查建議啟用以多份保障。

下圖以測試時間那天的0-day樣本為準(偽裝txt的Trickybot木馬),剛解壓立馬ban掉!



這傢伙的偵測核心由雙雲端引擎+離線ClamAV組成:


實測樣本可謂見一個殺一個,斷網後...檢測率感人。(但ClamAV會報毒的大多都有問題)


上圖是筆者統計最常出現的報毒名,其中SBX打分法遇最多次,離線啟發還真沒看過它發威
(詳細報毒法及多引擎資訊請參考下方樓層)



Immunet 能與用戶原先的防毒軟體相容,背後有思科撐腰自然沒在543。然而他沒有防漏洞
應用程式控制等進階功能 (帶主防的雲掃描器),單奔的話可考慮搭配如Comodo的防火牆

======分隔線======

Heimdal : 丹麥公司CSIS Security Group在2011年推出,2014年初脫離為獨立產品。

命名自北歐神話中守護者為名的海姆達爾曾協助美國網路應急小組(US-CERT)一同中斷GameOver Zeus殭屍網路及Cryptolocker。免費版只有軟體更新功能故針對專業版介紹。

需要注意的是Heimdal PRO並非防毒軟體。儘管具有阻止零時差攻擊及流量監視的能力,但無法從用戶的系統中移除惡意軟體



介面遵循從Windows 10到Android各處的簡潔趨勢,並將功能分為四個主要區塊:
概述、流量掃描、反惡意引擎和系統修補

點擊六角形即可掃描系統。控制台取決於PC的健康狀態改變顏色,例如發現應用程式有可用的更新時會變成黃色驚嘆號,如下所示:


接著是流量掃描,該功能會掃描系統上所有網路流量以防範有害的惡意網站或內容。反惡意引擎選項中則可以指定每隔一段時間進行過濾檢查 (預設一分鐘)



這功能可說是Heimdal看家本領。除了瀏覽網路的速度稍有影響DarkLayer Guard於測試中相當盡責地阻止危險活動。拉黑速度比瀏覽器內建快,但就跟WSA一樣設白名單前死都不讓你進入網站,有好有壞。
  • 已知的危險網站數據庫
  • 網站內嵌程式碼or流量重新導向
  • 系統外連的身分竊取 (木馬的C&C請求)


測試過程中確實出現了看似正常的網站遭誤判,遇過最多的情況是當網站從第三方CDN載入廣告或遠端圖片 / 字體時被封鎖。除非某些因素觸發 (網站遭入侵or混合惡意內容),否則誤判的情形
大多可排除解決。

註: 與同樣具流量防護的Malwarebytes相比,遭遇網頁混合內容(腳本/廣告)時後者會阻擋單一連入流量,而Heimdal則是直接鎖住整個網域。

自2017年6月起,Heimdal新增機器學習引擎Vector N Detection作為現有補充。不掃描檔案或審計任何處理程序,僅對所有入站出站的HTTP,HTTPS和DNS流量進行分析。

"如果當前系統狀態匹配已知的入侵事件指標(IoC),Vector N將會阻止發起的程式/腳本/處理程序"
雖官方聲稱可以阻止如APT、無檔案攻擊等次世代威脅,相關細節及評測資料卻相當稀少。(有待考證) 真實環境測試中也無觸發Vector N,令人訝異。(有更好測試方法煩請賜教)

如前所言Heimdal無法刪除惡意軟體,對於封鎖網站及感染後預防惡意軟體連出通信能做一定程度防禦。或許開發者初衷為易於使用,但事件發生時Heimdal往往無法提供用戶更多詳細資訊!

當然高價的授權費也是令人卻步的主因,綜觀來看檢測率還有極大改進空間。


10
-
未登入的勇者,要加入討論嗎?
板務人員:

1318 筆精華,06/25 更新
一個月內新增 1
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】