今天算是以病毒與防毒軟體為主的方向。
這篇不在原本的安排之內,
不過昨天惡意程式分析之後,
發現有些東西好像不適合放在昨天,
可是又覺得好像應該要講一下。
照慣例,每篇文章都會附上第一篇的文章,讓大家了解一下這系列文章說明
https://ithelp.ithome.com.tw/articles/10264252
同樣都是惡意程式,木馬通常是透過無害的檔案,但檔案當中帶有惡意的片段程式碼,不會進行自我複製;蠕蟲通常可利用網路進行自我複製擴散傳染;進入資訊設備後未經授權執行,影響使用者正常行為或是造成危害的程式可稱為病毒。
是一種病毒,會把你電腦裡面的檔案或資料進行加密,然後攻擊者會勒索你要求你付贖金,才會給你解密的金鑰。
是一種檔案不落地執行惡意程式碼的病毒攻擊,讓防毒軟體偵測與事後調查的難度都增加。
趨勢科技的部落格,有一些關於Fileless Malware的文章可以參考
https://blog.trendmicro.com.tw/?p=57676
特徵比對、信譽平等、啟發式、HIPS、行為分析... (其實就是接下來的題目XDD)
根據已知的條件(例如程式碼、檔案Hash等等)進行比對。優點是誤判率較低,缺點是只能偵測已知的惡意程式,遇到變種病毒就無法。
透過對網頁或是檔案進行安全性評分的一種機制,再透過大數據資料庫,來去看這個網頁或是檔案的安全性評分如何。缺點是如果是自行開發的小程式,常有誤判情形。
啟發式是用一系列的規則來偵測惡意程式的ㄐ機制,而不是基於病毒資料庫的傳統方式。有靜態與動態啟發式。優點是可以發現到變種的病毒,缺點是誤判率會比較高。
HIPS機制概念上有點像是防火牆,可以透過預定的規則,來允許或阻擋電腦中的行為。通常會有AD應用程式防護、RD註冊表防護、FD檔案防護。
行為分析就是如果有偵測到特定的行為(疑似惡意行為),就會被判定為惡意程式。優點與缺點都是行為必定會存在,例如,今天不管是惡意程式想關閉UAC,或是我自己寫的程式想關閉UAC,都一定會觸發關閉UAC的行為。
透過機器學習的技術來找出可能的未知病毒。優點是可以偵測變種惡意程式,但需要大量的Sample。
其實各家廠商的防毒軟體技術,都各有一點特色,有興趣可以多看看一些產品介紹XD
雖然大部分還是都大同小異,技術原理可能差不多(?,
不過使用者體驗或是一些設定細微程度有差,但這個通常才是影響使用者會不會繼續使用的關鍵呀~
然後關於防毒軟體
我自己覺得微軟內建的Windows Defender
還滿夠用的
若有要補充也都歡迎留言