淺談網頁流量掃描和防毒的隱性衝突

這篇要探討的是兩個不同的主題，所以分成前後段各自論述

一、流量掃描

我在「【科普】2017各款防毒軟體技術原理剖析」一文中，有介紹過什麼是流量掃描。一般的流量掃描是用特徵庫比對 HTTP 協議傳輸的數據，一但發現其數據內容包含惡意文件或是網址在 URL 黑名單，防毒軟體就會加以攔截；而少數像諾頓的 IPS、HMPA 則是偵測入侵定義，如果網頁中的惡意代碼符合相應的攻擊特徵，才會阻止入侵行為

這中間的差異一般人可能很難體會，所以下面就用簡單的測試圖片當做範例解說





單獨安裝 IPS 模塊，並訪問一個腳本注入攻擊的掛馬頁，IPS 立刻發威阻止

為免誤會說明一下，IPS 只會阻擋攻擊代碼，而不會把整個網頁屏蔽掉，這是與其它防毒的網頁防護比較大的區別



Malwarebytes 的網頁防護只是單純的拉黑處理，對於尚未入庫的 URL，這款防護軟體完全沒有任何反應


再一個例子





這是一個已經死掉的惡意網站，可以發現 Malwarebytes 依然對網頁進行阻擋，至於 IPS 想當然耳毫無響應

這就造成了常見的測試謬誤，其實多數毒網的樣本源，釣魚詐欺、廣告佔了絕大多數，而真正的掛馬比例只有很小一部份，如果算上漏洞攻擊那又更少了。如果單從封鎖的數量來看，網頁防護 Malwarebytes 似乎比 IPS、HMPA 還要優秀；但我們知道實際會產生威脅的，是那些透過漏洞的 Zero Day Attack，在這方面後兩者無疑是較佳的安全解決方案

用白話文舉例，防毒軟體如果是機場的安檢人員，一般的流量掃描會要求旅客一一按捺指紋，若在黑名單（病毒庫）則不予放行；IPS 則會根據旅客的特徵主動分析，像是外觀是否怪異、行為可疑，甚至攜帶槍枝等非法物品，只要觸發了定義中的條件，就會把犯人（數據）加以攔截

關於 IPS 的定義請參考
https://www.symantec.com/security_response/securityupdates/list.jsp?fid=sep



二、隱性衝突

很多人裝了一款防毒往往還是不放心，硬是要再裝兩、三款防護軟體，這時後就容易造成顯性衝突（俗稱練蠱）；不過有些"輔防"號稱可以與防毒軟體搭配，實際使用也沒問題，但這是真的嗎？



就拿 Malwarebytes 和 HMPA 舉例，這兩款安裝後表面相安無事，然而衝突已悄然發生...



在安裝 HMPA 之前，Malwarebytes 在 IE 注入了保護模塊



安裝 HMPA 後，HMPA 也注入了自己的 DLL
我們再來回頭看看原先 Malwarebytes 模塊的位置



被幹掉了 XDDD

這類隱性衝突還有很多，例如 Emsisoft、Avira、McAfee 等都會在 Windows Filtering Platform 系統層寫入驅動，而剛好 Malwarebytes 的流量掃描也是依託於這項服務，兩者搭配在一起會不會有問題是個未知數。另外像是 EMET 曾跟諾頓產生衝突都是例子

要避免衝突最簡單的方法就是不要安裝功能重覆的防護軟體（同樣都有防漏洞不要裝在一起、同樣是流量掃描不要裝一起...etc），可以的話盡量使用套裝方案，以利於長期穩定使用