微软Windows Defender Antivirus成为第一个能在沙盒中运行的防毒产品
微软上周宣布,其防毒软件Windows Defender Antivirus已经可在沙盒中执行,成为第一
个具备此类能力的防毒软件。微软并准备释出给Windows Insider方案的开发或研究人员
。
将Windows Defender Antivirus成功置于沙盒中执行可防止沙盒应用被入侵,将恶意程式
隔离在孤立环境中,确保系统其他部份不受影响。微软说明开发能让Windows Defender
Antivirus在沙盒中执行的原因在于,除了微软持续强化Windows 10整体对攻击的防御能
力外,微软内、外部研究人员已发现Windows Defender Antivirus内容分析器(content
parser)的漏洞可用来执行任意程式码执行。虽然没有看到Defender Antivirus漏洞的入
侵行为,但也激起该公司强化产品能力的想法。
这家软件巨人指出,将Windows Defender Antivirus置于程序执行受限环境下,是听取安
全业界及研究界意见的结果。这是一件很困难的挑战,因为他们必须考虑对效能和功能性
的影响、找出高风险区域,并确保这类沙盒技术不会影响产品原有的安全性等。
微软解释为此对Windows Defender Antivirus做了哪些调整。首先,现代安全软件需要扫
瞄各种对象,包括磁盘、内存中的资料串,以及即时行为事件等。而沙盒化的最重要功
能之一需要将Windows Defender Antivirus扫瞄能力分层(layering)以完整权限执行,
而且可于沙盒中执行的元件。将这些元件沙盒化执行的目的是可涵括高风险任务,例如扫
瞄不受信赖的输入指令、扩大的容器等,此外也需要将两个分层间的互动减少至最小以避
免大幅损及效能,而只在对效能要求较低时执行这些互动。
Defender Antivirus也尽量做协调作业以避免产生不必要的I/O、减少资料读取,以确保
受检查档案维持良好效能,尤其是在老旧硬件上。此外,微软也借由限制可被处理的同时
呼叫,以减少程序间通讯(inter-process communication)、引发死结(deadlock)或
优先权颠倒(priority inversion)等效能瓶颈,并以低权限的Appcontainer实作沙盒,
防止不预期的程序被驱动。其他还需考量逐步部署及可使用资源的问题,还要赋予
Windows Defender Antivirus高度权限,使它有能力及时缓解事件、或复原被感染的元件
。
微软准备逐步将Windows Defender Antivirus释出给加入Windows Insider方案的开发或
研究人员。目前仅Windows 10的1703版本以上支援这项新功能。
使用者可以借由设定环境变项(setx /M MP_FORCE_USE_SANDBOX 1)后重新开机,一旦沙
盒功能启动,使用者即会在Windows Defender Antivirus中看到MsMpEngCP.exe的内容程
序。
来源:https://www.ithome.com.tw/news/126679