Symantec Endpoint Protection 中的模拟器如何检测并清除恶意软件?

Symantec Endpoint Protection
14 引入了一个功能强大的新模拟器,可防御自定义包装器内部的恶意软件攻击。对于自动防护和病毒扫描,与以前的版本相比,此模拟器可将扫描性能和效率提高至少 10%。此反逃避技术可破解打包恶意软件混淆技术,并检测隐藏在自定义包装器内部的恶意软件。
什么是自定义包装器?
许多恶意软件程序利用“包装器”或用于压缩和加密文件进行传输的软件程序。到达用户的计算机后,会在内存中执行这些文件。
尽管包装器本身并非恶意软件,但是攻击者利用包装器隐藏恶意软件并混淆代码的真实意图。解压后,恶意软件将执行并启动其恶意负载,往往绕过防火墙、网关和恶意软件防护。攻击者已从使用商业包装器(例如,UPX、PECompact、ASProtect 和 Themida)转向创建自定义包装器。自定义包装器使用专有算法绕过标准检测技术。
许多新出现的自定义包装器都形态多样。它们使用代码本身频繁变化的反检测策略,但恶意软件的目的和功能保持不变。自定义包装器还使用机巧方法将代码注入目标进程并更改其执行流,频繁甩掉解包器例程。其中一些自定义包装器属于计算密集型,它们调用特殊 API,提高了解包难度。
自定义包装器日趋复杂,等到发现其所隐藏的攻击,一切为时已晚。
Symantec Endpoint Protection
模拟器如何防御自定义包装器?
Symantec Endpoint Protection
中的高速模拟器诱使恶意软件自以为在普通计算机上运行。相反,模拟器在客户端计算机上的轻量型虚拟沙盒中解压并触发自定义压缩文件。然后,恶意软件完全打开其负载,导致威胁在封闭的环境中显露出来。静态数据扫描程序包括防病毒引擎和启发式引擎,可对该负载采取操作。沙盒的存在很短暂,威胁被处理后就会消失。
模拟器需要使用尖端技术模拟操作系统、API 和处理器指令。它同时管理虚拟内存并运行各种启发式和检测技术来检查负载。几乎与客户端用户在桌面上单击文件的同时,它平均耗时 3.5 毫秒和 300 毫秒处理干净文件和恶意软件。模拟器可以快速检测威胁并最大程度地降低对性能和生产率的影响,防止客户端用户被中断。此外,模拟器在虚拟环境中使用最少的磁盘空间,使用的内存最多为 16 MB。
模拟器与其他防护技术结合使用,其中包括高级计算机学习、内存漏洞利用缓解、行为监控和信誉分析。有时,多个引擎一起运行,协同响应,以便防御、检测并修复攻击。
模拟器不使用 Internet。但是,静态数据扫描程序中的引擎可能需要基于模拟器从自定义包装器提取的恶意软件的 Internet。
如何配置模拟器?
模拟器已内置于
Symantec Endpoint Protection
软件中,因此您无需对其进行配置。Symantec 定期针对新威胁添加或更改模拟器内容,并定期发布模拟器引擎的内容更新。默认情况下,LiveUpdate 会自动随病毒和间谍软件定义下载这些内容。
Symantec Endpoint Protection Manager
不包括模拟器检测的单独日志。相反,您可以在风险日志和扫描日志中找到任何检测。