Symantec Endpoint Protection 中的模擬器如何偵測和清理惡意軟體?

Symantec Endpoint Protection
14 推出了功能強大的新模擬器,來防範來自自訂封包程式惡意軟體的攻擊。針對自動防護和病毒掃描,這個模擬器可將掃描效能和有效性較舊版至少提升 10%。此防躲避技術可解決包裝的惡意軟體迷惑技術,並能偵測自訂封包程式中隱藏的惡意軟體。
什麼是自訂封包程式?
許多惡意軟體程式利用「封包程式」,或是用來壓縮和加密檔案進行傳輸的軟體程式。然後,當這些檔案到達使用者的電腦時,即會在記憶體中執行。
雖然封包程式本身並非惡意軟體,但攻擊者會使用它們來隱藏惡意軟體並混淆程式碼的實際意圖。一旦將惡意軟體解除封包,它會執行並啟動其惡意酬載,經常會略過防火牆、閘道和惡意軟體防護。攻擊者已從使用商業封包程式 (例如 UPX、PECompact、ASProtect 和 Themida) 轉變為建立自訂封包程式。自訂封包程式使用專屬的演算法來略過標準的偵測技術。
許多新出現的自訂封包程式為變種。它們使用防偵測策略,其中程式碼本身經常變更,但惡意軟體的目的和功能仍保持不變。自訂封包程式也使用聰明的方式來將程式碼插入目標程序並變更其執行流程,經常能擺脫解除封包程式常式。它們當中的一部分為運算密集型,會呼叫特殊 API 使得難以解除封裝。
自訂封包程式變得愈來愈老練,可隱藏攻擊,發現時多半為時已晚。
Symantec Endpoint Protection
模擬器如何防範自訂封包程式?
Symantec Endpoint Protection
中的高速模擬器會欺騙惡意軟體,讓其認為它是在一般電腦上執行。模擬器實則會在用戶端電腦上的輕量虛擬沙箱中將自訂封裝檔案解除封裝並觸發。然後,惡意軟體會將其酬載開啟至滿載,造成威脅在遏制的環境中顯現。包含了防毒引擎和啟發式引擎的靜態資料掃描程式會對該酬載採取行動。沙箱是暫時的,會在處理完威脅之後消失。
模擬器需要模擬作業系統、API 和處理器指示的複雜技術。它會同時管理虛擬記憶體並執行各種啟發式和偵測技術來檢查酬載。對乾淨的檔案平均需要 3.5 毫秒,而對惡意軟體則需要 300 毫秒,大約是用戶端使用者在桌面上按下檔案所需的相同時間。模擬器可以快速偵測威脅,對效能和產能的影響程度最低,因此用戶端使用者不會被中斷。此外,模擬器會使用最低的磁碟空間量和虛擬環境中最多 16 MB 的記憶體。
模擬器可以與其他防護技術搭配使用,其中包括進階機器學習、記憶體攻擊緩和、行為監控和信譽分析。有時會有多個引擎加入,協同回應以預防、偵測和矯正攻擊。
模擬器不使用 Internet。不過,根據模擬器從自訂封包程式解壓縮的惡意軟體,靜態資料掃描程式內的引擎可能需要 Internet。
如何架構模擬器?
模擬器內建在
Symantec Endpoint Protection
軟體中,因此您不需要架構它。賽門鐵克會定期新增或變更模擬器內容以取得新威脅,並每季發行內容更新至模擬器引擎。依據預設,LiveUpdate 會自動下載此內容與病毒和間諜軟體定義檔。
Symantec Endpoint Protection Manager
不會包括模擬器所進行偵測的個別日誌。您可以改為在風險日誌和掃描日誌中尋找任何偵測。