這篇要探討的是兩個不同的主題,所以分成前後段各自論述
一、流量掃描我在「【科普】2017各款防毒軟體技術原理剖析」一文中,有介紹過什麼是流量掃描。一般的流量掃描是用特徵庫比對 HTTP 協議傳輸的數據,一但發現其數據內容包含惡意文件或是網址在 URL 黑名單,防毒軟體就會加以攔截;而少數像諾頓的 IPS、HMPA 則是偵測入侵定義,如果網頁中的惡意代碼符合相應的攻擊特徵,才會阻止入侵行為
這中間的差異一般人可能很難體會,所以下面就用簡單的測試圖片當做範例解說
![]()
![]()
單獨安裝 IPS 模塊,並訪問一個腳本注入攻擊的掛馬頁,IPS 立刻發威阻止
為免誤會說明一下,IPS 只會阻擋攻擊代碼,而不會把整個網頁屏蔽掉,這是與其它防毒的網頁防護比較大的區別
![]()
Malwarebytes 的網頁防護只是單純的拉黑處理,對於尚未入庫的 URL,這款防護軟體完全沒有任何反應
再一個例子
![]()
![]()
這是一個已經死掉的惡意網站,可以發現 Malwarebytes 依然對網頁進行阻擋,至於 IPS 想當然耳毫無響應
這就造成了常見的測試謬誤,其實多數毒網的樣本源,釣魚詐欺、廣告佔了絕大多數,而真正的掛馬比例只有很小一部份,如果算上漏洞攻擊那又更少了。如果單從封鎖的數量來看,網頁防護 Malwarebytes 似乎比 IPS、HMPA 還要優秀;但我們知道實際會產生威脅的,是那些透過漏洞的 Zero Day Attack,在這方面後兩者無疑是較佳的安全解決方案
用白話文舉例,防毒軟體如果是機場的安檢人員,一般的流量掃描會要求旅客一一按捺指紋,若在黑名單(病毒庫)則不予放行;IPS 則會根據旅客的特徵主動分析,像是外觀是否怪異、行為可疑,甚至攜帶槍枝等非法物品,只要觸發了定義中的條件,就會把犯人(數據)加以攔截
關於 IPS 的定義請參考
https://www.symantec.com/security_response/securityupdates/list.jsp?fid=sep二、隱性衝突很多人裝了一款防毒往往還是不放心,硬是要再裝兩、三款防護軟體,這時後就容易造成顯性衝突(俗稱練蠱);不過有些"輔防"號稱可以與防毒軟體搭配,實際使用也沒問題,但這是真的嗎?
![]()
就拿 Malwarebytes 和 HMPA 舉例,這兩款安裝後表面相安無事,然而衝突已悄然發生...
![]()
在安裝 HMPA 之前,Malwarebytes 在 IE 注入了保護模塊
![]()
安裝 HMPA 後,HMPA 也注入了自己的 DLL
我們再來回頭看看原先 Malwarebytes 模塊的位置
![]()
被幹掉了 XDDD
這類隱性衝突還有很多,例如 Emsisoft、Avira、McAfee 等都會在 Windows Filtering Platform 系統層寫入驅動,而剛好 Malwarebytes 的流量掃描也是依託於這項服務,兩者搭配在一起會不會有問題是個未知數。另外像是 EMET 曾跟諾頓產生衝突都是例子
要避免衝突最簡單的方法就是不要安裝功能重覆的防護軟體(同樣都有防漏洞不要裝在一起、同樣是流量掃描不要裝一起...etc),可以的話盡量使用套裝方案,以利於長期穩定使用
LINE