[情報] WindowsDefenderAntivirus已可在沙盒執行

作者: ss910126 (LEE)   2018-10-29 16:06:34
微軟Windows Defender Antivirus成為第一個能在沙盒中運行的防毒產品
微軟上周宣佈,其防毒軟體Windows Defender Antivirus已經可在沙盒中執行,成為第一
個具備此類能力的防毒軟體。微軟並準備釋出給Windows Insider方案的開發或研究人員

將Windows Defender Antivirus成功置於沙盒中執行可防止沙盒應用被入侵,將惡意程式
隔離在孤立環境中,確保系統其他部份不受影響。微軟說明開發能讓Windows Defender
Antivirus在沙盒中執行的原因在於,除了微軟持續強化Windows 10整體對攻擊的防禦能
力外,微軟內、外部研究人員已發現Windows Defender Antivirus內容分析器(content
parser)的漏洞可用來執行任意程式碼執行。雖然沒有看到Defender Antivirus漏洞的入
侵行為,但也激起該公司強化產品能力的想法。
這家軟體巨人指出,將Windows Defender Antivirus置於程序執行受限環境下,是聽取安
全業界及研究界意見的結果。這是一件很困難的挑戰,因為他們必須考慮對效能和功能性
的影響、找出高風險區域,並確保這類沙盒技術不會影響產品原有的安全性等。
微軟解釋為此對Windows Defender Antivirus做了哪些調整。首先,現代安全軟體需要掃
瞄各種對象,包括磁碟、記憶體中的資料串,以及即時行為事件等。而沙盒化的最重要功
能之一需要將Windows Defender Antivirus掃瞄能力分層(layering)以完整權限執行,
而且可於沙盒中執行的元件。將這些元件沙盒化執行的目的是可涵括高風險任務,例如掃
瞄不受信賴的輸入指令、擴大的容器等,此外也需要將兩個分層間的互動減少至最小以避
免大幅損及效能,而只在對效能要求較低時執行這些互動。
Defender Antivirus也儘量做協調作業以避免產生不必要的I/O、減少資料讀取,以確保
受檢查檔案維持良好效能,尤其是在老舊硬體上。此外,微軟也藉由限制可被處理的同時
呼叫,以減少程序間通訊(inter-process communication)、引發死結(deadlock)或
優先權顛倒(priority inversion)等效能瓶頸,並以低權限的Appcontainer實作沙盒,
防止不預期的程序被驅動。其他還需考量逐步部署及可使用資源的問題,還要賦予
Windows Defender Antivirus高度權限,使它有能力及時緩解事件、或復原被感染的元件

微軟準備逐步將Windows Defender Antivirus釋出給加入Windows Insider方案的開發或
研究人員。目前僅Windows 10的1703版本以上支援這項新功能。
使用者可以藉由設定環境變項(setx /M MP_FORCE_USE_SANDBOX 1)後重新開機,一旦沙
盒功能啟動,使用者即會在Windows Defender Antivirus中看到MsMpEngCP.exe的內容程
序。
來源:https://www.ithome.com.tw/news/126679
作者: belion (滅)   2018-10-30 11:11:00
我開 VM windows 算了..

Links booklink

Contact Us: admin [ a t ] ucptt.com