創作內容

4 GP

淺談網頁流量掃描和防毒的隱性衝突

作者:疾風│2017-07-29 15:19:42│巴幣:8│人氣:895
這篇要探討的是兩個不同的主題,所以分成前後段各自論述

一、流量掃描

我在「【科普】2017各款防毒軟體技術原理剖析」一文中,有介紹過什麼是流量掃描。一般的流量掃描是用特徵庫比對 HTTP 協議傳輸的數據,一但發現其數據內容包含惡意文件或是網址在 URL 黑名單,防毒軟體就會加以攔截;而少數像諾頓的 IPS、HMPA 則是偵測入侵定義,如果網頁中的惡意代碼符合相應的攻擊特徵,才會阻止入侵行為

這中間的差異一般人可能很難體會,所以下面就用簡單的測試圖片當做範例解說





單獨安裝 IPS 模塊,並訪問一個腳本注入攻擊的掛馬頁,IPS 立刻發威阻止

為免誤會說明一下,IPS 只會阻擋攻擊代碼,而不會把整個網頁屏蔽掉,這是與其它防毒的網頁防護比較大的區別



Malwarebytes 的網頁防護只是單純的拉黑處理,對於尚未入庫的 URL,這款防護軟體完全沒有任何反應


再一個例子





這是一個已經死掉的惡意網站,可以發現 Malwarebytes 依然對網頁進行阻擋,至於 IPS 想當然耳毫無響應

這就造成了常見的測試謬誤,其實多數毒網的樣本源,釣魚詐欺、廣告佔了絕大多數,而真正的掛馬比例只有很小一部份,如果算上漏洞攻擊那又更少了。如果單從封鎖的數量來看,網頁防護 Malwarebytes 似乎比 IPS、HMPA 還要優秀;但我們知道實際會產生威脅的,是那些透過漏洞的 Zero Day Attack,在這方面後兩者無疑是較佳的安全解決方案

用白話文舉例,防毒軟體如果是機場的安檢人員,一般的流量掃描會要求旅客一一按捺指紋,若在黑名單(病毒庫)則不予放行;IPS 則會根據旅客的特徵主動分析,像是外觀是否怪異、行為可疑,甚至攜帶槍枝等非法物品,只要觸發了定義中的條件,就會把犯人(數據)加以攔截

關於 IPS 的定義請參考
https://www.symantec.com/security_response/securityupdates/list.jsp?fid=sep



二、隱性衝突

很多人裝了一款防毒往往還是不放心,硬是要再裝兩、三款防護軟體,這時後就容易造成顯性衝突(俗稱練蠱);不過有些"輔防"號稱可以與防毒軟體搭配,實際使用也沒問題,但這是真的嗎?



就拿 Malwarebytes 和 HMPA 舉例,這兩款安裝後表面相安無事,然而衝突已悄然發生...



在安裝 HMPA 之前,Malwarebytes 在 IE 注入了保護模塊



安裝 HMPA 後,HMPA 也注入了自己的 DLL
我們再來回頭看看原先 Malwarebytes 模塊的位置



被幹掉了 XDDD

這類隱性衝突還有很多,例如 Emsisoft、Avira、McAfee 等都會在 Windows Filtering Platform 系統層寫入驅動,而剛好 Malwarebytes 的流量掃描也是依託於這項服務,兩者搭配在一起會不會有問題是個未知數。另外像是 EMET 曾跟諾頓產生衝突都是例子

要避免衝突最簡單的方法就是不要安裝功能重覆的防護軟體(同樣都有防漏洞不要裝在一起、同樣是流量掃描不要裝一起...etc),可以的話盡量使用套裝方案,以利於長期穩定使用
引用網址:https://home.gamer.com.tw/TrackBack.php?sn=3662092
All rights reserved. 版權所有,保留一切權利

相關創作

留言共 2 篇留言

桌上有海豚
hphost拉黑果真簡單暴力...

08-24 15:15

微光
感謝分享。 請問文內軟體為何?(檢視程式掛入DLL列表)
想做替代方案。

原先軟體:
WIN10 +CTRL+SHIFT+TAB 似乎無上述功能。而且WIN10常用前述快捷無法立即關閉程序,十分難用XD。

12-08 15:17

疾風
Process Explorer12-08 17:57
我要留言提醒:您尚未登入,請先登入再留言

4喜歡★ts00937488 可決定是否刪除您的留言,請勿發表違反站規文字。

前一篇:【科普】2017各款防毒... 後一篇:【科普】主機板供電能力解...

追蹤私訊切換新版閱覽

作品資料夾

dekuissocute大家
早安看更多我要大聲說8小時前


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】