ADVERTISEMENT
從病毒升級到零時差攻擊、臉書詐騙,網路威脅步步逼近,單純的防毒功能無法帶給我們完整的保護。因此,防毒軟體升級革新,各式各樣的安全機制隨之而來。小編現在就帶你了解2013年防毒重點趨勢,以及6大付費防毒軟體比比看,讓你新的一年電腦依舊百毒不侵。
快速瀏覽:
- 主流防護:病毒碼比對+主動式防禦 / 主動式防禦的技術分類
相信很多人心中都有一個同樣的疑問:為什麼要花錢買商業版的防毒軟體?現在國外許多防毒測試報告都指出,免費版防毒軟體的防毒功能不但不見得比較差,而且有些表現甚至還超越付費版的防毒軟體。
付費版的防毒軟體能保護的,其實不只是病毒的威脅。仔細想想,其實你已經很久沒聽過大規模的病毒感染事件,取而代之的是網路詐騙、釣魚網站、殭屍電腦等層出不窮的新名詞。這也表示電腦面臨的威脅已經轉移,光靠防毒一項功能,並不足以保護你的電腦。
ADVERTISEMENT
但是,什麼樣的功能才叫「夠多」?恐怕是見仁見智。而且現在防毒的名詞一大堆,所有功能列出來消費者只怕也是有看沒有懂。因此,首先我們先就防毒軟體目前所需功能,進行簡單的介紹以及分析。
2012下半年威脅分析
從2012年下半年的網路威脅案例來看,惡意程式正大舉進攻行動裝置平台。尤其是系統的手機、平板,成為惡意程式的新樂園,惡意程式偽裝成免費軟體或是熱門的正版遊戲,誘使使用者下載。還有許多程式則是游移在廣告程式與會蒐集個資的惡意程式模糊地帶之間,造成防不勝防的問題。
另外,藉由偽裝成臉書好友,透過手機簡訊認證碼進行小額詐騙的行為,這一類的案例在2012下半年也大量爆發。像是有歹徒假造一個投票網頁稱為「Yahoo攝影聯合會」,要網友去幫好友投票,但投票的過程中會騙取你個人的個資。這個網頁一再更改網址,直到現在也還有人受騙上當。
ADVERTISEMENT
另外,全球性的重大威脅則依然還是以針對瀏覽器、Java漏洞的零時攻擊為主,不過現在的駭客已經改為瞄準特定的企業與政府機關,因此在這方面對於一般家庭來說,威脅並不是那麼大。
▲你到各家防毒軟體的官網,都可以看到他們依照功能的多寡,推出不同版本,價格也不相同。這就是廠商因應不同網路威脅而採取的策略。
ADVERTISEMENT
主流防護:病毒碼比對+主動式防禦
現在的商業防毒軟體,強調的防毒核心有各種名詞,像是啟發偵測、主動式防禦、行為攔截等等,為什麼要有這些技術?主要是因為駭客技術的進化,帶來所謂「零時差攻擊」(Zero-day attack)的新威脅。
零時差,爆發損害極大化
早期的防毒軟體,是採用病毒碼更新的方式來偵測病毒。廠商將病毒的特徵寫入病毒碼,然後防毒軟體拿來將執行檔與病毒碼特徵比對,藉由這種方式來掃描出病毒。但這種作法有時差的問題,如果病毒第一時間推出,病毒碼資料庫沒有那麼快更新,就無法阻擋病毒的來襲。
但是駭客的技術進步,帶來了「零時差攻擊」的威脅。駭客搶先找到程式、瀏覽器的安全漏洞,然後在廠商還沒有來得及修補之前,就惡意利用這個漏洞去攻擊他人的電腦。由於在爆發之前漏洞還沒有被發現,因此防毒軟體也無法靠病毒碼來防堵零時差攻擊。也由於零時差搶的就是漏洞修補前的空隙,因此當駭客發動零時差攻擊的瞬間,也是災情最慘重的時候。
ADVERTISEMENT
▲零時差攻擊帶來傷害的最高峰為攻擊開始的當下,之後隨著廠商發佈更新檔就不再造成威脅。
主動式防禦技術及問題
為了解決零時差攻擊的問題,「主動式防禦技術」(也稱為免疫防護)成了新的解決辦法。原理是病毒、木馬都會有一些基本的企圖以及動作,因此藉由程式的行為、動作,來判斷這個程式是否有可能是病毒或是惡意程式。不追求病毒碼的更新,而從根本動作上拔除病毒的危害。
主動式防禦所觀察的動作,又可分為應用程式防禦、系統登錄檔防禦以及一般檔案防禦,業界習慣將這個稱為3D(Defend)。有些產品則只鎖定應用程式防禦、系統登錄檔防禦,就稱為2D。
但是主動式防禦技術最大的問題就在正常程式的動作,有可能會與某些病毒的動作一樣,因此主動式防禦很容易有誤判的問題。而為了減低誤判率,各家廠商都有自己的主動式防禦技術,但主要可以分為「啟發偵測」以及「行為攔截」兩大類別。
▲3D的分類
▲Windows 8內建的Microsoft Security Essentials防毒工具,也採用主動式防禦的技術。
主動式防禦的技術分類
啟發式偵測技術、行為攔截工具,兩種方法的主要差異為:啟發式偵測技術是在與正在運作的主系統隔離的環境下,去研究可疑程式;惡意行為攔截工具則是由可疑程式在系統中執行,只要這個程式一出現病毒的行為,立即封鎖這個程式的惡意行為。
「動態」、「靜態」啟發式偵測
啟發式偵測依照原理,又分為「靜態啟發」以及「動態啟發」兩種技術。
「靜態啟發」是在不執行程式的情況下,將可疑的程式進行反組譯的動作,從程式碼中觀察裡頭的命令,研判這個程式是否有與病毒相同的行為。雖然聽起來與病毒碼比對掃毒有點類似,但傳統的病毒碼比對是直接比對病毒程式的執行檔,因此病毒製作者只要稍微修改一下程式碼,馬上就可以生出第二個、第三個變種病毒,而防毒軟體就必須要有對應的不同病毒碼才能偵測。但靜態啟發則可以靠同一種邏輯,就去將整個病毒家族找出來。
至於「動態啟發」,則是營造一個虛擬的隔離環境,讓程式在這個環境中執行。當他觀察到程式執行的行為符合病毒的行為特徵,就判定這個程式為病毒。
惡意行為攔截工具
行為攔截工具是讓可疑程式在實際環境中執行,也算是最早期的主動防禦技術。這種方式就是針對「3D」進行監視,行為攔截工具必須要有一個規則表來配合,這個規則表有記錄各種危險的動作,而當程式符合規則表的危險動作,就會跳出一個視窗,詢問使用者是否要封鎖這個動作。
早期使用行為攔截工具的使用者會覺得很煩,因為動不動就會跳出視窗詢問你要不要封鎖某個動作,也有太多誤判的可能。因此現在的行為攔截工具觀察的不是單一動作,而是綜合的連續動作,藉以減低誤判率。
但是行為攔截工具還是需要使用者相當程度的參與,如果使用者對於惡意行為完全沒有概念,行為攔截工具的效果會大打折扣。因此一般家用的消費防毒軟體,還是以採用啟發式偵測技術為主。
防火牆還重不重要?
現在防毒軟體只要是冠上「Internet」產品名稱的這個版本,最主要就是多加了套防火牆的功能。但是以現在主動式防禦的技術,已經可以防堵程式的惡意行為,當然也包括對於網路的不正常存取,效果近似防火牆。再加上Windows也內建了防火牆,相形之下一般家庭對防火牆的需求較沒有那麼急迫。
▲主動式防禦技術有所謂的「規則集」,這個規則就是用來記錄一些程式的行為,當程式的表現符合感染行為的規則判斷,就予以防護。
▲也有的程式採用雲端的方式,透過大量使用者的經驗,在雲端對各種程式進行信譽分級,並且對應到使用者端所安裝的所有軟體上進行信譽分級。
延伸閱讀:
(後面還有:防毒軟體面面觀)
ADVERTISEMENT