本帖最后由 aaa839 于 2017-11-25 01:50 编辑
看到不少飯友很好奇Update 33中的Sensor Detection是那一回事
在此我即時請教一下我在Avira工作的朋友並為大家解析這個功能
其實已經有飯友能夠猜出這次Update 33加入的Sensor Detection正是我2014年曾提及的Kernel Sensor
這次更新正正是把Kernel Sensor 功能由只限於APC延伸至本地也可以執行
屬於本地版的Kernel Sensor
我2014年時曾提及的KS為APC 雲端中其中一個模組早於2015版本的Update 8開始已經存在KS
APC中的KS會按照已定義的規則去分析程式行為並判斷是否有害
相關規則是由APC內AI 自動機器學習及Avira APL 病毒實驗室所定義
而最初引入Kernel Sensor時
其偵測只局限於在APC雲端上使用
Avira 客戶端自帶的 Kernel Sensor 只有感應器,並不會帶有任何分析或偵測有害種式的功能
當感應器感知程式出現可疑行為時,會觸發APC 上傳並即時進行掃瞄及返回結果,
因此仍非常依賴APC作掃瞄
但這次UPDATE 33更新正正把KS 技術的功能由純APC雲端,變成本地也可以執行
本地版KS 主要是避免斷網時APC沒法使用,引致無法阻擋新型Malware 的情況
更可阻止部份程式只局限於本地執行,並不會在雲端執行。
另外亦可阻止以下特殊情況
無檔案式感染,反覆啟動/載入,偷渡式程式碼下載
KS會透過監察各種 Windows API 行為例如:正在執行處理程序,檔案,登錄檔等
檢測任何可疑行為 屬於行為偵測一部份
當KS感知到本地程式有可疑行為,
即可以按照本地規則立即進行分析
如發現程式行為與KS規則的定義相符 就會把立即截斷該程式行為操作並標記為有害。
而且 本地KS 更可不需要當每次偵測到都要觸法上傳至APC 才可以分析相關行為
而KS的本地規則跟VDF或引擎一樣,會透過更新時一併下載並套用。
程式設定中的傳感器選項為決定KS需監控或忽略那種程式行為並發現時立即阻截/截斷該行為
(雖然有本地版,但並不代表APC已移除了KS技術,完整KS運行依然在APC上,因會對系統的佔用資源過大
而Update 只是將KS偵測技術延伸至本地,亦可預先阻截有害程式,並減少多餘的上傳)
但請留意一點
Kernel Sensor 本地版並不能和APC內的版本相提並論
即使如本地版Kernel Sensor 規則無法判斷程式的行為是否可疑
因本地版KS非常依賴其已下載的本地規則)
客戶端依然會觸發上傅至APC作即時分析
但依然有例外情況,例如KS中的Fileless infection sensor (無檔案式感染感應器),因無檔案式感染並不會產生任何實體檔案
因此APC並不能在沒有檔案情況下上傳並偵測,但有關重要資訊會上傳至APC 以評估會否為誤報或正常檔案
而本地KS亦可突破障礙,正因為其監視各種 Windows API 行為,只要有類似行為存在,即可立即在本地中斷相關行為。
(其實是即時行為防護,算主防一種)
|
[复制链接]
发表于 2017-11-24 02:47:05
楼主