ADVERTISEMENT
近年防毒軟體的效能、功能表現越來越相似,掃毒率都在伯仲之間。免費和付費版本的差異大多僅是進階功能上的區別,譬如郵件掃毒、網頁瀏覽防護等。這此撇開軟體功能不談,我們來談談病毒從出生到死亡會經歷哪些過程,防毒軟體在病毒的一生當中做了哪些事情。如何獲得病毒樣本、辨識病毒特徵、最後如何消滅病毒。
這次為了解釋防毒軟體更深層的技術問題,很高興能夠與翔偉資安科技技術長兼技術總監杜世鵬先生、芬安全實驗室亞洲區信息安全技術顧問吳樹謙先生,一同來談談關於安全軟體的二三事,以及深藏在你我心中許久的疑問。
▲杜執行長不但擁有許多思科以及資訊安全方面的證照,還獲得白帽駭客專業認證,更是美國國家安全局認證資訊系統安全專業人員。
▲部分內容是由芬安全技術顧問吳樹謙先生協助。
病毒樣本從何而來
Q:實驗室收集病毒的管道有哪些?所得的比例大概是多少?
實驗室收集樣本的管道如下:
- 用戶從電子郵件提供。
- 我們產品內嵌的深藍技術(DeepGuard)。
- 我們的樣本提交管道。
- 監測蜜罐以及郵件陷阱。
- 與一些組織共享樣本,譬如CERT。
- 其它第三方管道。
目前我們無法向大眾表示各種收集管道所佔的比例。
▲提交可疑樣本不用註冊,但若是想要獲得分析報告或是提交網址,就必須註冊1個新帳號。
蜜罐
英文為honeypot,引誘一些駭客進入執行破壞,在旁利用其它的工具軟體進行分析研究。
安全人員建立起一個假的主機系統,而這個主機系統必須與真的系統盡量相似,以求研究結果可應用在真實世界上以及避免被駭客所識別出。
蜜罐裝置可以是任何的電子產品,以便捕捉日益多樣化的攻擊,有時可以是虛擬系統、印表機、電腦主機,也能夠大到伺服器、機房、甚至是整個網路。
郵件陷阱
英文為e-mail trap或是spamtrap,主要是用來收集垃圾郵件的蜜罐。這個專門負責收集垃圾郵件的信箱位址並不會出現在一般人所能看到的地方,只會在電子世界中由一些郵件位址收集器所捕獲(通常就是垃圾郵件業者),就算知道這個郵件信箱位址的人也不能寄信到此信箱,如此一來,這個信箱所收到的任何郵件均可被判斷為垃圾郵件。
安全軟體的防護機制
Q:防毒軟體除了一般人所認知的特徵碼掃瞄,行為攔截,監控系統重要檔案之外,芬安全是否有其它的技術進行掃毒?
我們的芬安全提供以下其它的防護:
- 深藍引擎提供行為以及啟發式掃瞄。
- 瀏覽器防護:基於信譽處理結果,網址會被分類為有害的或是安全的,有害的網址會被封鎖。
- 金融防護:線上銀行交易會被即時保護。
- 家長控制:將網址分門別類,例如色情或是賭博。
分析樣本自動化
Q:實驗室收集到病毒資訊之後,到放入防毒軟體辨識之前,這中間分析的過程為何?可否詳加說明?
當收集到病毒樣本時,它會被我們的自動樣本管理系統所處理,在那裡樣本進行分析並判定,將被分類為可疑的或是乾淨的。這個多層次掃瞄機制包含數個不同的引擎,以及分析師們所設下的條件判斷式集合。之後一個通用的偵測方法就會被加進資料庫,接著就會發布給我們的客戶(使用者)。
Q:可以詳述這個「自動樣本管理系統」內部是如何運作的嗎?
我們沒有辦法揭露太多關於我們的樣本自動管理系統的執行細節,基本上在我前面的回覆:「這個多層次掃瞄機制包含數個不同的引擎,以及分析師們所設下的條件判斷式集合。」我們就已經表明相當多的資訊。
▲自動化行為分析所產出的結果,從圖上可以看到完整記錄下可疑樣本的執行結果。
延伸閱讀:
Android 安全危機!會隱形的木馬 ANDROIDOS_OBAD,如釘子戶不讓你移除
怪咖 McAfee 教你如何移除 McAfee 防毒軟體,內容堪列18禁
透過反廣告 App,清查 Android 內的廣告,解決惡意行為
(後面還有更多訪談內容)
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!