基于签名的防病毒或反恶意软件解决方案是否有效?与越来越多的恶意软件(尤其是 Rootkit)的斗争是否已经失败?
基于签名的防病毒或反恶意软件是否有效?
基于签名的检测系统不能是唯一的解决方案,但它可以是解决方案的一部分。事实上,您会发现许多具有行为检测和启发式检测的 AV 产品也仍然采用基于签名的检测。这很简单,速度很快,误报的机会非常低。但是误报的可能性很高,而且您肯定无法抵御新颖的攻击。
我认为防病毒/防恶意软件和其他基于黑名单的安全系统存在以下严重缺陷:
- 他们不可能防范新的(尚未列出的)威胁,例如零日漏洞
- 它们提供了一种虚假的安全感
- 他们的签名文件大小无限,并且一直在增长
- 由于 3.随着时间的推移,它们对资源(内存、CPU 等)的负担越来越重
- AV 软件以最高权限的系统管理员身份运行,并且由合法用户自愿安装。本质上,它是操作系统内核的一部分。因此,反病毒本身已成为首选的攻击目标。
相比之下,基于白名单的安全系统允许已知的、常规的和安全的,同时不允许(从现在开始询问用户是否允许)其他一切,更可持续、更有效、更高效且实际上更安全。
这不仅仅是我的观点,它是许多著名安全专家都同意的原则。参见例如: 这篇 WiReD 文章
[更新:2014-07-29]
但情况变得更糟:想象一个庞大而复杂的单体应用程序,它以最高权限在您的计算机上运行。它拦截许多系统调用,有时会更改它们的语义,在更新时安装内核驱动程序,使用数据包过滤器来嗅探所有进入的内容,并有效地尝试控制您的计算机可以或不能做的任何事情。我刚才描述的是 AV 软件的本质。这正是他们中的大多数人所做的。结果是典型的 AV 软件显着增加了您的攻击漏洞表面。事实上,现代恶意软件通常会寻找 AV 软件漏洞来利用(例如,请参阅此参考)。这就是为什么许多安全专家认为 AV 程序是有史以来最危险的病毒之一。反病毒实际上正在转变为现代恶意软件的扩展。
[更新:2022-01-09]
已经有 7-8 年了。正如人们所担心的那样,AV 领域变得更加危险。
在最近的新闻中,用户报告说,一家知名且广泛使用的 AV 软件公司现在正式安装了可能不需要的附加组件(在本例中为加密矿工)。甚至不再需要利用 AV 管理员权限的黑帽参与来用不需要的软件感染您的计算机。
https://www.theregister.com/2022/01/05/norton_360_cryptominer_deletion/
我个人会用什么代替?
多层基于白名单的保护组合。当一个失败时,其他人可能会成功:
- 防火墙只允许已知和设计允许的内容
- 日志扫描仪、绊线、文件签名(入侵检测,基于异常)系统
- 沙盒、虚拟机围绕更易受攻击的软件(如浏览器)
- 一个加固的操作系统,可以防止数据执行,支持随机地址加载,执行运行时检查,如系统调用参数检查等。
- 安全、加密的连接,如 ssh 提供的连接
- 一种环境,允许人们查看已安装软件的源代码并从该源代码构建,或者至少从少数信誉良好的源而不是大量随机站点下载软件包。
- 更强/更长的密码和密码;一个好的开源密码管理器;多重身份验证 (MFA)
- 对于公司:零信任网络。
没有灵丹妙药。安全是一个受许多因素影响的复杂领域。人们可以使用上述(以及更多)原则来提高安全性,但鉴于硬件、软件和大量潜在感染媒介的复杂性,人们永远无法确定他是 100% 安全的。
请在 securitytube 观看这些视频
- http://securitytube.net/How-to-make-Files-Undetectable-by-Anti-Virus-video.aspx
- http://www.securitytube.net/AV-Evasion-using-MSF3-Payloads-video.aspx
这两者都证明了避免防病毒检测是多么容易。基于签名的防病毒软件需要继续存在,但如果他们想谋生,仅将自己限制为基于签名的检测是不够的。
您拥有可用于伪装恶意软件的自动化工具,从而轻松分发防病毒软件无法识别的恶意软件。
您还面临多态代码的挑战,这使得基于签名的检查更加困难。这场战斗绝不会失败,但如今通过签名来阻止比 10 年前要困难得多。
当像你妈妈这样的人可能会因为欺诈而丢失她的身份和支付卡时,它就丢失了。
我想说,不,自 1999 年 Windows 缓冲区溢出以来,防病毒和反恶意软件一直非常无效。在 2010 年,它们火上浇油,使系统更加不安全,而不仅仅是因为它们提供了虚假安全感。他们正在积极地受到攻击,并被用作 rootkit 或入口点。