從病毒升級到零時差攻擊、臉書詐騙,網路威脅步步逼近,單純的防毒功能無法帶給我們完整的保護。因此,防毒軟體升級革新,各式各樣的安全機制隨之而來。小編現在就帶你了解2013年防毒重點趨勢,以及6大付費防毒軟體比比看,讓你新的一年電腦依舊百毒不侵。
快速瀏覽:
- 主流防護:病毒碼比對+主動式防禦 / 主動式防禦的技術分類
- 「雲端」在防毒軟體的角色 / 防毒率是否重要? / 付費防毒軟體的特徵
- 六大付費防毒軟體介紹:PC-cillin 2013雲端版、ESET Smart Security 6、Norton Internet Security 2013、G Data 網路安全 2013 中文版、芬安全 電腦安全軟體、卡巴斯基 網路安全套裝
相信很多人心中都有一個同樣的疑問:為什麼要花錢買商業版的防毒軟體?現在國外許多防毒測試報告都指出,免費版防毒軟體的防毒功能不但不見得比較差,而且有些表現甚至還超越付費版的防毒軟體。
付費版的防毒軟體能保護的,其實不只是病毒的威脅。仔細想想,其實你已經很久沒聽過大規模的病毒感染事件,取而代之的是網路詐騙、釣魚網站、殭屍電腦等層出不窮的新名詞。這也表示電腦面臨的威脅已經轉移,光靠防毒一項功能,並不足以保護你的電腦。
但是,什麼樣的功能才叫「夠多」?恐怕是見仁見智。而且現在防毒的名詞一大堆,所有功能列出來消費者只怕也是有看沒有懂。因此,首先我們先就防毒軟體目前所需功能,進行簡單的介紹以及分析。
2012下半年威脅分析
從2012年下半年的網路威脅案例來看,惡意程式正大舉進攻行動裝置平台。尤其是Android系統的手機、平板,成為惡意程式的新樂園,惡意程式偽裝成免費軟體或是熱門的正版遊戲,誘使使用者下載。還有許多程式則是游移在廣告程式與會蒐集個資的惡意程式模糊地帶之間,造成防不勝防的問題。
另外,藉由偽裝成臉書好友,透過手機簡訊認證碼進行小額詐騙的行為,這一類的案例在2012下半年也大量爆發。像是有歹徒假造一個投票網頁稱為「Yahoo攝影聯合會」,要網友去幫好友投票,但投票的過程中會騙取你個人的個資。這個網頁一再更改網址,直到現在也還有人受騙上當。
另外,全球性的重大威脅則依然還是以針對瀏覽器、Java漏洞的零時攻擊為主,不過現在的駭客已經改為瞄準特定的企業與政府機關,因此在這方面對於一般家庭來說,威脅並不是那麼大。
▲你到各家防毒軟體的官網,都可以看到他們依照功能的多寡,推出不同版本,價格也不相同。這就是廠商因應不同網路威脅而採取的策略。
主流防護:病毒碼比對+主動式防禦
現在的商業防毒軟體,強調的防毒核心有各種名詞,像是啟發偵測、主動式防禦、行為攔截等等,為什麼要有這些技術?主要是因為駭客技術的進化,帶來所謂「零時差攻擊」(Zero-day attack)的新威脅。
零時差,爆發損害極大化
早期的防毒軟體,是採用病毒碼更新的方式來偵測病毒。廠商將病毒的特徵寫入病毒碼,然後防毒軟體拿來將執行檔與病毒碼特徵比對,藉由這種方式來掃描出病毒。但這種作法有時差的問題,如果病毒第一時間推出,病毒碼資料庫沒有那麼快更新,就無法阻擋病毒的來襲。
但是駭客的技術進步,帶來了「零時差攻擊」的威脅。駭客搶先找到程式、瀏覽器的安全漏洞,然後在廠商還沒有來得及修補之前,就惡意利用這個漏洞去攻擊他人的電腦。由於在爆發之前漏洞還沒有被發現,因此防毒軟體也無法靠病毒碼來防堵零時差攻擊。也由於零時差搶的就是漏洞修補前的空隙,因此當駭客發動零時差攻擊的瞬間,也是災情最慘重的時候。
▲零時差攻擊帶來傷害的最高峰為攻擊開始的當下,之後隨著廠商發佈更新檔就不再造成威脅。
主動式防禦技術及問題
為了解決零時差攻擊的問題,「主動式防禦技術」(也稱為免疫防護)成了新的解決辦法。原理是病毒、木馬都會有一些基本的企圖以及動作,因此藉由程式的行為、動作,來判斷這個程式是否有可能是病毒或是惡意程式。不追求病毒碼的更新,而從根本動作上拔除病毒的危害。
主動式防禦所觀察的動作,又可分為應用程式防禦、系統登錄檔防禦以及一般檔案防禦,業界習慣將這個稱為3D(Defend)。有些產品則只鎖定應用程式防禦、系統登錄檔防禦,就稱為2D。
但是主動式防禦技術最大的問題就在正常程式的動作,有可能會與某些病毒的動作一樣,因此主動式防禦很容易有誤判的問題。而為了減低誤判率,各家廠商都有自己的主動式防禦技術,但主要可以分為「啟發偵測」以及「行為攔截」兩大類別。
▲3D的分類
▲Windows 8內建的Microsoft Security Essentials防毒工具,也採用主動式防禦的技術。
主動式防禦的技術分類
啟發式偵測技術、行為攔截工具,兩種方法的主要差異為:啟發式偵測技術是在與正在運作的主系統隔離的環境下,去研究可疑程式;惡意行為攔截工具則是由可疑程式在系統中執行,只要這個程式一出現病毒的行為,立即封鎖這個程式的惡意行為。
「動態」、「靜態」啟發式偵測
啟發式偵測依照原理,又分為「靜態啟發」以及「動態啟發」兩種技術。
「靜態啟發」是在不執行程式的情況下,將可疑的程式進行反組譯的動作,從程式碼中觀察裡頭的命令,研判這個程式是否有與病毒相同的行為。雖然聽起來與病毒碼比對掃毒有點類似,但傳統的病毒碼比對是直接比對病毒程式的執行檔,因此病毒製作者只要稍微修改一下程式碼,馬上就可以生出第二個、第三個變種病毒,而防毒軟體就必須要有對應的不同病毒碼才能偵測。但靜態啟發則可以靠同一種邏輯,就去將整個病毒家族找出來。
至於「動態啟發」,則是營造一個虛擬的隔離環境,讓程式在這個環境中執行。當他觀察到程式執行的行為符合病毒的行為特徵,就判定這個程式為病毒。
惡意行為攔截工具
行為攔截工具是讓可疑程式在實際環境中執行,也算是最早期的主動防禦技術。這種方式就是針對「3D」進行監視,行為攔截工具必須要有一個規則表來配合,這個規則表有記錄各種危險的動作,而當程式符合規則表的危險動作,就會跳出一個視窗,詢問使用者是否要封鎖這個動作。
早期使用行為攔截工具的使用者會覺得很煩,因為動不動就會跳出視窗詢問你要不要封鎖某個動作,也有太多誤判的可能。因此現在的行為攔截工具觀察的不是單一動作,而是綜合的連續動作,藉以減低誤判率。
但是行為攔截工具還是需要使用者相當程度的參與,如果使用者對於惡意行為完全沒有概念,行為攔截工具的效果會大打折扣。因此一般家用的消費防毒軟體,還是以採用啟發式偵測技術為主。
防火牆還重不重要?
現在防毒軟體只要是冠上「Internet」產品名稱的這個版本,最主要就是多加了套防火牆的功能。但是以現在主動式防禦的技術,已經可以防堵程式的惡意行為,當然也包括對於網路的不正常存取,效果近似防火牆。再加上Windows也內建了防火牆,相形之下一般家庭對防火牆的需求較沒有那麼急迫。
▲主動式防禦技術有所謂的「規則集」,這個規則就是用來記錄一些程式的行為,當程式的表現符合感染行為的規則判斷,就予以防護。
▲也有的程式採用雲端的方式,透過大量使用者的經驗,在雲端對各種程式進行信譽分級,並且對應到使用者端所安裝的所有軟體上進行信譽分級。
延伸閱讀:
2013 年 8 大免費防毒軟體評比,防護特色、測試成績報你知
Norton 2013年網路安全預測報告,勒索軟體、社群網站安全首當其衝
從 Dropbox 資料被盜事件,看使用者 10 個自保方法,強化 PC 與帳號安全
(後面還有:防毒軟體面面觀)
指標都自己打的
根本沒有所謂的評測
這應該是目前市面上偵測率最高的軟體<( ̄︶ ̄)>
破解檔那些被偵測到不能稱之為誤判
> 我目前是用卡巴斯基,下一個應該會換G DATA~
>
> 這應該是目前市面上偵測率最高的軟體
看了你的留言以後 我馬上去試用了G Data
網站看起來很不錯 原來是德國產品
http://www.gdata.tw/
其實一直以來我也是用卡巴
雖然卡巴的防毒效果不錯 但我始終不習慣卡巴的介面
期間試過很免費的廠牌也用不慣 就繼續用著卡巴
搞不懂為什麼很多介紹都說卡巴的介面簡單好上手
可是實際上卡巴的操作邏輯這幾年都沒有重大改變
感覺只是換了一層皮又推出新版本
在功能操作上極不直覺
尤其是"防火牆"的部分 他沒有獨立的防火牆設定頁面
而是隱藏在右上角設定裡繁複的選項當中
當要設定應用程式白名單時 操作更是麻煩
試用了G Data 2013第一眼就喜歡他的介面
簡單明瞭 操作直覺 占用資源非常少(與KIS2013相比)
以前開機時 卡巴總是最慢才啟動
現在開機 G Data就已經開了好
啟動速度差很多
網路上看到有人說 G Data占用資源大應該是指2012版吧
我用2013版完全覺得他是一個輕巧的程式
如果沒有意外我以後就改投G Data的懷抱了(≧▽≦)