[情报] WindowsDefenderAntivirus已可在沙盒执行

楼主: ss910126 (LEE)   2018-10-29 16:06:34
微软Windows Defender Antivirus成为第一个能在沙盒中运行的防毒产品
微软上周宣布,其防毒软件Windows Defender Antivirus已经可在沙盒中执行,成为第一
个具备此类能力的防毒软件。微软并准备释出给Windows Insider方案的开发或研究人员

将Windows Defender Antivirus成功置于沙盒中执行可防止沙盒应用被入侵,将恶意程式
隔离在孤立环境中,确保系统其他部份不受影响。微软说明开发能让Windows Defender
Antivirus在沙盒中执行的原因在于,除了微软持续强化Windows 10整体对攻击的防御能
力外,微软内、外部研究人员已发现Windows Defender Antivirus内容分析器(content
parser)的漏洞可用来执行任意程式码执行。虽然没有看到Defender Antivirus漏洞的入
侵行为,但也激起该公司强化产品能力的想法。
这家软件巨人指出,将Windows Defender Antivirus置于程序执行受限环境下,是听取安
全业界及研究界意见的结果。这是一件很困难的挑战,因为他们必须考虑对效能和功能性
的影响、找出高风险区域,并确保这类沙盒技术不会影响产品原有的安全性等。
微软解释为此对Windows Defender Antivirus做了哪些调整。首先,现代安全软件需要扫
瞄各种对象,包括磁盘、内存中的资料串,以及即时行为事件等。而沙盒化的最重要功
能之一需要将Windows Defender Antivirus扫瞄能力分层(layering)以完整权限执行,
而且可于沙盒中执行的元件。将这些元件沙盒化执行的目的是可涵括高风险任务,例如扫
瞄不受信赖的输入指令、扩大的容器等,此外也需要将两个分层间的互动减少至最小以避
免大幅损及效能,而只在对效能要求较低时执行这些互动。
Defender Antivirus也尽量做协调作业以避免产生不必要的I/O、减少资料读取,以确保
受检查档案维持良好效能,尤其是在老旧硬件上。此外,微软也借由限制可被处理的同时
呼叫,以减少程序间通讯(inter-process communication)、引发死结(deadlock)或
优先权颠倒(priority inversion)等效能瓶颈,并以低权限的Appcontainer实作沙盒,
防止不预期的程序被驱动。其他还需考量逐步部署及可使用资源的问题,还要赋予
Windows Defender Antivirus高度权限,使它有能力及时缓解事件、或复原被感染的元件

微软准备逐步将Windows Defender Antivirus释出给加入Windows Insider方案的开发或
研究人员。目前仅Windows 10的1703版本以上支援这项新功能。
使用者可以借由设定环境变项(setx /M MP_FORCE_USE_SANDBOX 1)后重新开机,一旦沙
盒功能启动,使用者即会在Windows Defender Antivirus中看到MsMpEngCP.exe的内容程
序。
来源:https://www.ithome.com.tw/news/126679
作者: belion (灭)   2018-10-30 11:11:00
我开 VM windows 算了..

Links booklink

Contact Us: admin [ a t ] ucptt.com