微軟上周宣布,其殺毒軟件Windows Defender Antivirus已經可在沙盒中執行,成為第一個具備此類能力的殺毒軟件。微軟并準備發布給Windows Insider方案的開發或研究人員。
将Windows Defender Antivirus成功置于沙盒中執行可防止沙盒應用被入侵,将惡意程序隔離在孤立環境中,确保系統其他部分不受影響。微軟說明開發能讓Windows Defender Antivirus在沙盒中執行的原因在于,除了微軟持續強化Windows 10整體對攻擊的防禦能力外,微軟内、外部研究人員已發現Windows Defender Antivirus内容分析器(content parser)的漏洞可用來執行任意代碼執行。雖然沒有看到Defender Antivirus漏洞的入侵行為,但也激起該公司強化産品能力的想法。
這家軟件巨人指出,将Windows Defender Antivirus置于程序執行受限環境下,是聽取安全業界及研究界意見的結果。這是一件很困難的挑戰,因為他們必須考慮對性能和功能性的影響、找出高風險區域,并确保這類沙盒技術不會影響産品原有的安全性等。
微軟解釋為此對Windows Defender Antivirus做了哪些調整。首先,現代安全軟件需要掃描各種對象,包括磁盤、內存中的數據串,以及即時行為事件等。而沙盒化的最重要功能之一需要将Windows Defender Antivirus掃描能力分層(layering)以完整權限執行,而且可于沙盒中執行的組件。将這些組件沙盒化執行的目的是可涵蓋高風險任務,例如掃描不受信賴的輸入指令、擴大的容器等,此外也需要将兩個分層間的交互減少至最小以避免大幅損及性能,而隻在對性能要求較低時執行這些交互。
Defender Antivirus也盡量做協調作業以避免産生不必要的I/O、減少數據讀取
,以确保受檢查文件維持良好性能,尤其是在老舊硬件上。此外,微軟也借由限制可被處理的同時調用,以減少程序間通信(inter-process communication)、引發死結(deadlock)或優先權颠倒(priority inversion)等性能瓶頸,并以低權限的Appcontainer實例沙盒,防止不預期的程序被驅動。其他還需考察逐步部署及可使用資源的問題,還要賦給Windows Defender Antivirus高度權限,使它有能力及時緩解事件、或複原被感染的組件。
微軟準備逐步将Windows Defender Antivirus發布給加入Windows Insider方案的開發或研究人員。目前僅Windows 10的1703版本以上支持這項新功能。
用戶可以借由設置環境變項(setx /M MP_FORCE_USE_SANDBOX 1)後重啟,一旦沙盒功能啟動,用戶即會在Windows Defender Antivirus中看到MsMpEngCP.exe的内容程序。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!