全站文章 iT邦幫忙
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號密碼
聯絡客服
訂閱周刊
讀者服務
13' E政府專刊no.7(48)
13' iTcloud No.3(47)
12' E政府專刊no.6(46)
12' 個資法專刊No2(45)
12' iTcloud No.2(44)
12' e政府專刊No.5(43)
12' 個資法專刊(42)
11' CIO專刊(41)
11' e教育專刊No.3 (40)
11' e政府專刊No.4 (39)
11'iTcloud專刊(38)
10' e教育專刊No.2 (37)
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
個人端防毒軟體:Eset Smart Security 7
文/李宗翰 (記者) 2013-12-02
分享到facebook
可防護直接植入記憶體的未知惡意程式

產品資訊●建議售價:Smart Seurity單機1年授權1,180元, NOD32 Antivirus單機1年授權990元【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】
●網址:www.eset.com ●代理商:台灣二版(02)7722-6899 ●作業系統支援:Windows 8.1/8/7/Vista/XP、Windows Home Server 2011/2003 ●防護功能:防毒、防間諜軟體、周邊裝置控管、設備防竊、垃圾郵件防護、個人防火牆

▲Eset在旗下兩大防毒軟體的7.0版本都內建HIPS,而且新加入了進階記憶體掃描與漏洞防護功能選項,預設啟用。

這次改版,Eset版防毒軟體系列本身的操作介面,幾乎跟上一版一模一樣,主要差異在於:兩產品共通的主機型入侵防護機制(HIPS),新增了兩項功能選項:進階記憶體掃描器(Advanced Memory Scanner)、系統漏洞防護(Exploit Blocker,原廠譯為惡意探索封鎖程式)。

而進階版Smart Seurity(ESS)所特有的個人防火牆功能,也擴充了網路層弱點防護(Vulnerability Shield)的整合。

IDS功能可主動防護、通知、記錄
Eset 7.0對於本身所偵測到的各種網路安全警告事件,透過IDS例外設定選單,可預先設定是否封鎖連網、發出通知與留下防護記錄。
可揪出直接執行在記憶體、將內容解密的可疑惡意檔案
在防毒功能上,Eset 7.0將先前版本所提供針對外接儲存裝置的封鎖與掃描功能選項,換成新的周邊裝置控制模組,而用戶現在可以針對磁碟儲存裝置、光碟機和FireWire外接儲存裝置等3種周邊,來設定唯讀或封鎖。

此外,這一版Eset將他們認為最常用的3到5套這類獨立執行的解毒程式,打包成Eset專用清除程式,目的是為了更方便地移除較複雜的惡意程式。

上述的改良重點是對多數惡意程式的防護,不過為了迴避防毒軟體的偵測,許多惡意程式會用很高的加密程度來隱藏自己,避免被防毒軟體發現,Eset 7.0在HIPS新加入的進階記憶體掃描器中,號稱可以監控記憶體中處理程序是否有不尋常的加解密行為,並且能更深入地即時掃描記憶體內的狀況,提升對未知惡意程式的偵測率,並避免受到感染。

Eset這種掃描技術,主要是為了針對特定惡意程式使用的模擬(Emulator)或脫殼(Unpacking)技術──例如Spy Keylogger,可偵測出是否有惡意程式在記憶體內,直接執行資料解密作業,或將檔案放在記憶體,不落地到磁碟存放,以迴避防毒軟體的檔案掃描作業。Eset認為這可以預防新型未知惡意程式的攻擊,而不需要仰賴既有的行為剖析資訊,即可判斷。

在其他家防毒軟體功能上,倒是並未特別強調進階記憶體掃描。像趨勢科技就表示,像Zbot、Ransomware、Cryptolocker這種惡意程式,都有類似加殼以避開偵測,等到真正載入記憶體之後才解殼的行為,而他們的防毒軟體是透過核心掃描引擎來偵測。

另一個上述Eet 7.0防護系統漏洞的新功能Exploit Blocker,主要作用是透過內建個人防火牆,來保護一些使用者電腦中非常普遍、常被濫用弱點來發動攻擊的應用程式,提供強化的機制,像是網頁瀏覽器、PDF閱讀軟體、微軟Office等。

有別於既有的技術都是聚焦在惡意檔案本身的偵測,這項功能所用的防護層更深入到程式內部,甚至比攻擊者更貼近應用程式本身。

7.0 ESS內建的個人防火牆,也提供了入侵偵測系統的例外選項,用戶目前可自行定義出56種網路入侵行為的警告模式,像是TCP SYN洪水攻擊,其中針對安全漏洞發動的攻擊警告則有29種之多。一旦發生符合設定條件的狀況,這套防火牆機制可自動封鎖、通知或留下防護記錄。文☉李宗翰

分享到facebook

2014資安趨勢研討會
更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

電週文化事業版權所有、轉載必究 •Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome