你的电脑安全幺？一篇文章让你懂得杀毒技术的所有原理

大家好，这里是专业玩家网小编~

近年来勒索肆虐猖狂，网络上反而出现不少不学无术、对防毒原理一知半解、毫无专业知识，却在论坛上妖言惑众、散布错误观念和谣言、肆意贩卖恐惧、误导他人的可恶之徒。可悲的是，这等神棍的妖言还有不少人信以为真，于是一传十、十传百，指鹿为马居然莫名成为了真理

Q：旧版的作业系统（Windows7、8）只要定期更新安全性跟 Windows 10 一样，所以不用升级 Windows 10？

A：错。微软在 Windows 10 的底层安全架构上花了相当大的苦心，以近期的 WannaCrypt 来讲，只要是 Win10 系统都不会因为漏洞的关系中毒才对。这并不是 Win10 强制更新的关系，就算在未补洞的情况下，也因为病毒覆盖存储器区段的位置在 Win10 中是不可执行的，所以 Win10 不受这次灾情影响

但我们可以发现，Win7 与 Win10+EMET 安全性有相当大的差距。而就在2017年微软把 EMET 全部功能融入到新版 Win10，所以 EMET 已经正式停止研发

换句话说，就算有漏洞，也因为底层安全架构的改进，Win10 相对不容易被恶意程序利用；而安全架构落后的作业系统，只能一直依靠打补丁做事后的解决

另外有些人满好笑的，看到新闻公布 Win 10 也有 WannaCry 导致小部分的中毒而大作文章，殊不知这些数据是测试人员与使用者自己点击样本造成的，与漏洞完全没有任何关系

再举一个例子，微软在 Windows 10 中添加了一个叫 AMSI 的公用 API，可以让所有第三方防毒软件使用它扫描存储器中正在执行的脚本内容（如 PowerShell、Windows 脚本宿主、JavaScript 和 JScript）。过去防毒大多只能检测磁碟中存在的脚本，却不能阻止存储器中已执行的脚本，AMSI 的出现改变了游戏规则。它甚至可以检查 URL/IP 达到一定的网络防护效果。也就是说，在 Windows 10 中防毒软件可以藉由 AMSI 近一步提升防护能力和检测成绩

当然，Windows 10 在安全上的改进不止这些，但认真讲解又可以写一篇文章了，繁族不及备载，就先介绍到这

Q：网络流传一篇20款防毒软件主防测试，号称断网才可以测出防毒对于未知病毒的应变能力，值得参考吗？

A：如果有认真阅读上面的文章内容，应该知道当今多数防毒软件都有用上云技术，举凡铁壳的 Sonar、卡巴的 KSN、红伞的 APC、咖啡的 GTI/Real Protect、甚至微软的 WD 遇上未知都要连网向 MMPC 查询才会杀。所以任何断网测试，在我看来都毫无参考价值可言。而且把样本下载到本地双击，并无法测试出防毒的实际防御能力，例如 WannaCry 透过 SMB 的漏洞入侵系统，ESET 虽然第一时间无法检测到该病毒，但其 IDS 网络防护却可以阻断来自 SMB 的攻击，所以实际环境中 EIS 用户都不会受到勒索的影响。目前比较可看出防毒实际能力的测试，应属 AVC 的 Real-World Protection Tests，它们是把0day样本挂马在网页上，防毒在连网的情况下去浏览这些 Web 页，看能不能正确拦截（拦截但误报也会扣分）

Q：勒索开始加密时要赶快断网？

A：开始加密代表病毒已经把需要的资料上传到黑客的服务器，这时后断网已经来不及了。何况断网会让防毒的查杀能力降低，所以千万不要自作聪明去拔网络线

Q：PTT 网友制作 "侦测到加密自动关机”的脚本，是否能有效防范勒索病毒？

A：如果安装系统的硬盘有重要资料，那么千万不要使用这个脚本。我们已经知道不少防毒会利用行为拦截未知的病毒，如果在加密的一瞬间立刻断开，等于中断行为检查，原本主防可以加密后再回滚，用这个脚本反而会干扰防毒的主防运作。该脚本唯一的用途在于，除非重要文件都放在非系统碟（不是槽），自动关机后取出放资料的硬盘再重灌系统

 

 

Q：与其装防毒拖累效能，不如中毒后再手工杀毒？

A：现代作业系统越来越复杂，不太容易完全手工清除病毒的痕迹。就算你真的有办法删除好了，恶意程序造成的破坏使用者也很难去修复。绑架首页这种小毒倒还好，那些会加驱、深入内核的（典型如 Rootkit）就算把病毒移除，也已经对系统造成损害，如果不进行修复可能会出现异常（蓝屏、死机等）

阅读本文后读者应该知道，防毒软件除了有「删毒」的功能也有「修复」的能力，更甚者部分主防具有「回滚」可完全恢复病毒造成的破坏。所以这种麻烦事，还是交给专业的防毒处理会比较好

Q：预防勒索的辅助工具百百款，除了防毒外还需要装哪些安全软件呢？

A：在众多辅防工具中，我只推荐 HitmanPro.Alert。其它号称防勒索的工具，大多是样本侵入主机后，再利用各种方法（例如密罐）去捕获加密行为。然而在我看来「阻止勒索加密」其实是最后手段，它应该是防毒的工作而不是辅防的任务

HitmanPro.Alert（HMPA）不同之处在于，它其实不是专杀勒索，而是一款 Anti-Exploit（漏洞防护）软件。从 WannaCry 的例子中可得知，会有大规模的灾情是因为勒索透过 SMB 的漏洞侵入主机，如果没有「侵入」根本不会有「加密」这些后续步骤。在实例中，具有 Anti-Exploit 功能的防毒（铁壳 IPS、ESET IDS）确实能在第一时间阻止漏洞被利用。而 HMPA 是目前漏洞防护做得最好的辅防之一，其内置的启发规则不亚于一线大厂的防毒模块，也可以跟多数防毒做搭配，产生互补作用。自从 EMET 停止研发后，HMPA 就变成了辅防的首选