本帖最后由 renyifei 于 2018-6-15 13:10 编辑
科普向——ESET各技术介绍 前言: 如果你已经对ESET有一定了解并且想知道更多关于ESET的技术,请继续往下看 假如你是一个刚刚使用ESET的人,你可以先去看一看我在2016年写的 ESET使用指南,虽然是基于ESET10编写的但是对于ESET11同样适用。
5.20在@驭龙 的建议下增加了关于Augur,ppl,amsi的部分 可能这是我最后一次编辑此贴了,我对@pal家族 给我发的卡巴技术介绍很感兴趣,所以我决定要搬运一下。
[color=#ff0000
11版本中的新功能 ESET Internet Security 的新版本包含以下改进: •一键单击日志记录 – 只需单击一下即可创建高级日志。 •统一可扩展固件接口 (UEFI) 扫描程序 – 通过在操作系统启动之前检测并删除可能触发的威胁来提高恶意软件防护级别。 •高性能和低系统影响 - 此版本旨在高效使用系统资源,从而使你可以在抵御新的威胁类型的同时尽情享受计算机的性能。 •高级重组设置 – ESET LiveGrid® 设置移至“检测引擎”部分,反垃圾邮件高级日志移至“诊断”部分等。 •拖放文件扫描 - 只需将文件或文件夹移动到标记区域即可手动扫描文件或文件夹。 •ESET Internet Security 现在使用最小模块进行安装,使安装轻量快捷。安装并激活产品后,模块开始下载。 •ESET Internet Security 将在您连接到未受保护的无线网络或防护较弱的网络时通知你。
系统需求: 支持的处理器 Intel® 或 AMD x86-x64 支持的操作系统 Microsoft Windows 10 Microsoft Windows 8.1 Microsoft Windows 8 Microsoft Windows 7 Microsoft Windows Vista Microsoft Windows Home Server 2011 64 位
基于主机的入侵防御系统 (HIPS) 它可保护你的系统,以免恶意软件和任何不受欢迎的活动试图对你的计算机产生不利影响。HIPS 利用高级行为分析并配合网络过滤的检测功能来监视正在运行的进程、文件和注册表项。 HIPS 独立于文件系统实时防护,并且不是防火墙;它仅监视在操作系统中运行的进程。
ESET的扫描引擎ThreatSense和关键技术 ThreatSense包括许多复杂的威胁检测方法。 此技术具有某种主动性防护功能,也就是说,它可在新威胁开始传播的较早阶段提供防护。该技术采用代码分析、代码仿真、一般的识别码、病毒库的组合,以显著提高系统安全性。 扫描引擎可同时控制多个数据流,最大限度地提高效率和检测速度。ThreatSense 技术还可成功消除 Rootkit。 看家本领-高启发 ESET的启发是许多杀软都有的技术,但是高启发就不是如此了,这也是ESET为什么用机器人作为象征的原因之一 启发式扫描 - 启发式扫描是一种分析(恶意)程序行为的算法。 此技术的主要优点是能够识别过去不存在或以前的病毒库未涵盖的恶意软件。缺点是可能发出虚假警报(尽管可能性很小)。 高级启发式扫描/DNA 病毒库 - 高级启发式扫描是一种独特的启发式扫描算法,该算法由 ESET 开发,针对检测使用高级编程语言编写的计算机蠕虫和木马进行了优化。 使用高级启发式扫描显著提高了 ESET 产品的威胁检测功能。 病毒库可以可靠地检测和识别病毒。 利用自动更新系统,可以在发现威胁后的数小时内提供新病毒库。该病毒库的缺点是只能检测到它所知道的病毒(或在这些病毒基础上略做修改的版本)。 ESET SysInspector 介绍 ESET SysInspector 是彻底检查你的计算机并全面显示所收集数据的应用程序。安装的驱动程序和应用程序、网络连接或重要注册表项等信息有助于调查因软件或硬件不兼容或恶意感染引起的可疑系统行为。并创建一个系统快照进行分析。 怎么使用?你可以在ESET中找到该程序,也可以去官网下载。
漏洞利用阻止程序 漏洞利用阻止程序旨在强化那些经常被漏洞利用的应用程序类型,例如 Web 浏览器、PDF 阅读器、电子邮件客户端和 MS Office 组件。 它的工作原理是通过监视进程的行为来查找可能表明漏洞的可疑活动。 在漏洞利用阻止程序识别出某个可疑的进程后,它将立即停止该进程并记录有关该威胁的数据,然后将数据发送到 ThreatSense 云系统。 该数据将由 ESET 研究实验室进行处理并用来更好地保护所有用户,以使他们免受未知威胁和零日攻击(新发布的恶意软件,目前没有预配置的补救措施)的侵害。
高级内存扫描程序 高级内存扫描程序与漏洞利用阻止程序结合使用以增强对恶意软件的防范,后者旨在通过迷惑和/或加密方法来逃过反恶意软件产品的检测。为了以防普通的模拟或启发式扫描无法检测出某个威胁,高级内存扫描程序可以在可疑行为和威胁出现在系统内存中时识别可疑行为并扫描威胁。 此解决方案对迷惑性极强的恶意软件也非常有效。 与漏洞利用阻止程序不同,高级内存扫描程序是执行后方法,这意味着可能存在它检测到威胁之前某些恶意活动已执行的风险;但是在其他检测技术都失效的情况下,该方法可以提供额外一层安全性。
网络攻击防护(IDS) 网络攻击防护是防火墙的扩展功能,它针对网络级别上的已知漏洞改进了检测功能。 通过对广泛使用的协议(例如,SMB、RPC 和 RDP)中的常见漏洞实施检测,它构成了针对广泛传播的恶意软件、通过网络进行的攻击以及尚未发布或部署补丁的漏洞利用的另一层重要防护。单纯的网络防火墙已经不适应现在的网络环境,IDS应运而生,
ESET LiveGrid® 此技术我认为可以看作是ESET的云。但是ESET还是以本地毒库为主。 ESET LiveGrid® 建立在ThreatSense.Net 高级早期预警系统之上,并利用 ESET 用户在世界各地提交并发送给 ESET 研究实验室的数据。 通过提供可疑的样本和原始的元数据,ESETLiveGrid® 能够立即作出反应并使 ESET 能够持续应对最新的威胁。 ESET使用该信息生成全球威胁的性质和范围的精确快照,以帮助ESET将注意力放在正确的目标上。ESET LiveGrid® 数据在设置自动处理优先级时起着重要的作用。 此外,它还实施了一个信誉系统,可帮助提高反恶意软件解决方案的整体效率。 在用户系统上检查可执行文件或压缩文件时,系统会首先将其哈希标记与数据库中的白名单和黑名单项进行对比。如果发现它位于白名单中,则检查的文件将被视作未感染并且将被标记,以便从日后的扫描中排除。 如果发现它位于黑名单中,将根据威胁的性质采取相应的措施。 如果未发现匹配,将彻底扫描文件。基于此次扫描的结果,文件将被分类为威胁或非威胁。 此方法对于扫描性能有着极为重要的积极影响。 此信誉系统可以有效地检测恶意软件样本,甚至是在这些样本的病毒库通过更新的病毒库发送到用户的计算机之前
僵尸网络保护 僵尸网络保护通过分析其网络通信协议来帮助发现恶意软件。 已经有许多年网络协议没有更新但是僵尸网络正在不断变化,该技术可以有效抵御这种威胁。他可以是ESET抵制试图避开检测并尝试将您的计算机连接到僵尸网络的恶意软件
Java 漏洞利用阻止程序 Java 漏洞利用阻止程序是现有漏洞利用阻止程序防护的扩展。 它可以监控 Java 并查找类似漏洞利用的行为。 可以将阻止的样本报告给ESET,以便分析人员创建签名来在不同的层(URL 阻止、文件下载等)上阻止它们。
银行和付款保护 这里我不多赘述,毕竟功能不太实用,主要就是打开受保护的浏览器来登陆付款网站。
基于脚本的攻击防护 基于脚本的攻击防护包含针对 Web 浏览器中的 javascript 防护和针对 Powershell 中的脚本的 Antimalware Scan Interface(AMSI) 防护。 主要:必须启用 HIPS 才能使此功能起作用。 基于脚本的攻击防护支持以下 Web 浏览器: •MozillaFirefox——火狐 •GoogleChrome——谷歌以及谷歌内核 •InternetExplorer——用来下载别的浏览器的浏览器 •MicrosoftEdge——IE的替代者
勒索软件防护 10中的新功能,11中得到了改进 勒索软件是一种恶意软件类型,可通过锁定系统的屏幕或加密文件来阻止用户访问其系统。防勒索软件防护可监视应用程序和进程尝试用户的个人数据的行为。 如果某个应用程序的行为被视为恶意或基于信誉的扫描显示某个应用程序可疑,则将阻止该应用程序,或者将询问用户要阻止它还是允许它。 注意:必须开启ESET Live Grid才可以使用该功能
UEFI 扫描程序 统一可扩展固件接口 (UEFI) 扫描程序是基于主机的入侵防御系统 (HIPS) 的一部分,可保护计算机上的 UEFI。 UEFI 是在启动过程开始时加载到内存中的固件。 该代码存在于焊接在主板上的闪存芯片中。通过感染它,攻击者可以部署在系统重新安装和重新启动后仍然存在的恶意软件。 反恶意软件解决方案也很容易忽略此类恶意软件,因为大多数反恶意软件不会扫描该层。 ESET将自动启用 UEFI 扫描程序。 也可以在主程序窗口中,通过依次单击计算机扫描 > 高级扫描 > 自定义扫描,选择引导区/UEFI 目标,进行扫描。
家长控制 家长控制模块允许你配置家长控制设置,这些设置将为家长提供自动工具,帮助保护其孩子并设置设备和服务的限制。其目的是防止小孩和未成年人访问不适当的或具有有害内容的页面。 家长控制可以阻止可能包含潜在冒犯材料的网页。此外,家长可以禁止访问 40 个以上的预先定义的网站类别和超过 140 个子类别。
WEB保护 Internet 连接是个人计算机的一项标准功能。 不幸地是,它也成为传输恶意代码的主要媒介。 Web 访问保护的功能是监视 Web 浏览器和远程服务器之间的通信,并遵从 HTTP(超文本传输协议)和 HTTPS(加密通信)规则。 在下载内容之前,将阻止访问已知包含恶意内容的网页。所有其他网页在加载时会由 ThreatSense 扫描引擎进行扫描,并且如果检测到恶意内容,将阻止它们。 Web 访问保护提供两种级别的保护:按黑名单阻止和按内容阻止。
网络钓鱼防护 网络钓鱼通常被用于获取访问敏感信息(如银行帐号、PIN 号码等)的权限。 ESET Internet Security 包括网络钓鱼防护,用于阻止散布此类内容的已知网页。
已连接的家庭显示器 已连接的家庭显示器可帮助识别家庭网络中的漏洞,如开放端口或较弱的路由器密码。 它还可提供易于访问的已连接设备列表,该列表中的设备按设备类型(如打印机、路由器、移动设备等)分类,可显示家庭网络中连接了哪些设备。它不会重新配置路由器。 你将使用路由器的专用接口进行更改。 家庭路由器会非常容易受到用于启动分布式拒绝服务攻击 (DDoS)的恶意软件的攻击。 如果用户尚未更改路由器的默认密码,则黑客很容易猜到路由器密码,然后登录到你的路由器并进行重新配置或侵入你的网络
系统清理器 系统清理器报告来自五个设置类别的问题: •安全设置: 可能导致计算机漏洞增加的设置更改,例如 Windows 更新。 •系统设置: 可能更改计算机行为的系统设置更改,例如文件关联 •系统外观: 影响系统外观的设置,例如桌面壁纸 •已禁用功能: 可能已禁用的重要功能和应用程序 •Windows系统还原: Windows 系统还原功能的设置,允许您将系统还原到以前的状态
Augur(基于B100D1E55的文章编写此部分)
这是ESET的机器学习系统,其采用两种检测技术:
1.神经网络,特别是深度学习和长短期记忆神经网络(LSTM)
2.一个基于六种算法统筹决策的分拣模型。
对于一个未知可疑样本,Augur会先展开它的行为并进行初步的DNA分析,然后系统会根据从文件本身、进程行为、DNA等抽取出来的特征分拣成干净程序、潜在不需要程序、或者恶意程序。需要注意的是,有些厂商宣称他们不需要对样本进行脱壳、行为分析、或者仿真。而ESET认为正是这些他们不关注的特征才是机器学习的重要组成部分。否则当程序被加密或者压缩后,那些仅从文件表层进行特征提取的做法无异于对一堆噪声进行分拣。
ESET的分拣算法有两种模式:
激进检测模式,只要六个分拣算法大部分都投票认为文件有害,样本即判黑。这对于IT管理员来说很有效,因为它可以将可疑的文件标记出来以让系统管理员进行人工最终决策。
保守检测模式,六个分拣算法只要有一个投票认为这个样本无害,那么系统则判定为白文件(吐槽:让我想起了EVA的MAGI系统:)。这对于普通用户来说能减少误报带来的困扰。
PPL(Antimalware Protected Process Light )
这项技术给予了ESET系统级别的自我保护,使得ESET在面对破坏杀毒软件的自保护程序时幸免于难。PPL的权限比admin还要高,不加驱是无法结束ESET的进程的。
PPL最早现于WD,2017年doubleagrent病毒利用Verifier大肆破坏各种杀软的自我保护系统,而WD因为有PPL的保护避免了这种情况的发生。
AMSI(反恶意软件扫描接口)
这个接口可以用来扫描基于脚本的入侵攻击和恶意软件。对于企业安全而言,基于脚本的入侵攻击往往是致命的,而且随着PowerShell的开源和添加了跨平台的支持,这类攻击将会变得越来越常见。
AMSI针对的是那些采用PowerShell、VBScript、以及JScript等语言开发出来的恶意脚本,它可以大大提升恶意脚本的检测准确率,并帮助用户有效地屏蔽这类恶意脚本。在脚本宿主准备运行某一段脚本代码之前,AMSI便会介入并尝试扫描出代码中潜在的恶意内容。而AMSI之所以如此高效的原因就在于,无论代码是否经过了模糊处理,无论代码被混淆到了什么样的程度,当脚本需要在脚本宿主中运行时,它都必须是以清晰的、未经过混淆处理的明文代码形式呈现给脚本宿主的。除此之外,由于代码在真正得到执行之前就被提交给了AMSI,所以代码的来源就并不重要了,代码可以来自于磁盘文件、系统内存或者来自于交互式输入,这些都不会对AMSI的效率产生影响。ASMI是一个开放的接口,而微软公司也曾公开表示,任何应用程序都可以调用这个API接口。在Windows 10中,Windows Defender就使用了这个接口。
到此基本上所有ESET的技术就解释完毕了。希望坛友们在使用ESET前具体了解一下。
2018.5.18
| 
[复制链接]
发表于 2018-5-18 20:17:28
楼主