Video: Malwarebytes Premium 4.1 Обзор, Настройка Антивируса Anti-Malware (Tháng Chín 2024)
Một VP Symantec gần đây đã tuyên bố rằng phần mềm chống vi-rút đã chết. Nhiều người sẽ không đồng ý, nhưng sự thật là một tiện ích chống vi-rút truyền thống không thể bảo vệ chống lại các khai thác 0 ngày tấn công các lỗ hổng trong hệ điều hành và ứng dụng. Đó là nơi Malwarebytes Anti-Miningit Premium (24, 95 đô la) xuất hiện. Nó được thiết kế đặc biệt để phát hiện và đẩy lùi các cuộc tấn công khai thác, và nó không cần phải có kiến thức trước về khai thác.
Vì không có cơ sở dữ liệu chữ ký, sản phẩm khá nhỏ, chỉ 3MB. Cũng không cần cập nhật thường xuyên. Một phiên bản miễn phí, được gọi là Malwarebytes Anti-Miningit Free, đưa DLL bảo vệ của nó vào các trình duyệt phổ biến (Chrome, Firefox, Internet Explorer và Opera) và Java. Phiên bản Premium, được đánh giá tại đây, mở rộng sự bảo vệ này cho các ứng dụng Microsoft Office và cho các trình đọc và trình phát phương tiện PDF phổ biến. Với phiên bản Premium, bạn cũng có thể thêm các lá chắn tùy chỉnh cho các chương trình khác.
Làm thế nào nó hoạt động
Theo tài liệu, Malwarebytes Anti-Miningit Premium "kết thúc các ứng dụng được bảo vệ trong ba lớp phòng thủ". Lớp đầu tiên của hệ thống bảo vệ đang chờ cấp bằng sáng chế này theo dõi các nỗ lực bỏ qua các tính năng bảo mật của hệ điều hành, bao gồm Ngăn chặn thực thi dữ liệu (DEP) và Ngẫu nhiên bố trí không gian địa chỉ (ASLR). Lớp hai để mắt đến bộ nhớ, đặc biệt cho mọi nỗ lực thực thi mã khai thác từ bộ nhớ. Lớp thứ ba chặn các cuộc tấn công vào chính ứng dụng được bảo vệ, bao gồm "thoát khỏi hộp cát và bỏ qua giảm thiểu bộ nhớ".
Tất cả điều này nghe có vẻ tốt. Sẽ là khá khó khăn cho bất kỳ kẻ tấn công nào để khai thác một chương trình dễ bị tổn thương mà không gặp phải một trong những chuyến đi này. Vấn đề duy nhất là, thật khó để thấy sự bảo vệ này hoạt động.
Khó kiểm tra
Hầu hết các sản phẩm chống vi-rút, bộ phần mềm và tường lửa bao gồm bảo vệ khai thác xử lý nó giống như cách chúng thực hiện quét vi-rút. Đối với mỗi khai thác được biết đến, chúng tạo ra một chữ ký hành vi có thể phát hiện khai thác ở cấp độ mạng. Khi tôi kiểm tra Norton AntiVirus (2014) bằng cách sử dụng các khai thác được tạo bởi công cụ thâm nhập CORE Impact, nó đã chặn từng người một và báo cáo số CVE (Lỗ hổng và vụ nổ chung) chính xác cho nhiều người trong số họ.
McAfee AntiVirus Plus 2014 đã bắt được khoảng 30 phần trăm các cuộc tấn công nhưng chỉ xác định được một số ít bằng tên CVE. Trend Micro Titanium Antivirus + 2014 đã chiếm hơn một nửa, xác định hầu hết là "các trang nguy hiểm".
Vấn đề là, hầu hết những khai thác đó có lẽ không thể gây ra bất kỳ thiệt hại nào ngay cả khi không bị Norton chặn. Thông thường, một công cụ khai thác hoạt động dựa trên một phiên bản cụ thể của một chương trình cụ thể, dựa vào phân phối rộng rãi để đảm bảo nó đạt đủ các hệ thống dễ bị tấn công. Tôi thích thực tế rằng Norton cho tôi biết một số trang web đã cố gắng khai thác; Tôi sẽ không đến đó một lần nữa! Nhưng hầu hết thời gian khai thác được phát hiện không thể thực sự gây ra thiệt hại.
Bảo vệ của Malwarebytes được tiêm vào từng ứng dụng được bảo vệ. Trừ khi một cuộc tấn công khai thác thực tế nhắm vào phiên bản chính xác của ứng dụng đó, nó không làm gì cả. Một công cụ kiểm tra do công ty cung cấp đã xác minh rằng phần mềm hoạt động và một công cụ phân tích mà tôi đã sử dụng cho thấy rằng Malwarebytes DLL đã được đưa vào tất cả các quy trình được bảo vệ. Nhưng đâu là xác minh thực tế của tôi rằng nó sẽ chặn khai thác trong thế giới thực?
Kiểm tra vận hành
Vì rất khó để kiểm tra sản phẩm này, Malwarebytes đã tham gia các dịch vụ của một blogger bảo mật chỉ được biết đến với cái tên Kafeine. Kafeine đã tấn công một hệ thống thử nghiệm bằng cách sử dụng 11 bộ dụng cụ khai thác rộng rãi: Angler EK, Fiesta, FlashPack, Gondad, GrandSoft, HiMan EK, Infinity, Magnitude, Nucle Pack, Styx và Sweet Orange. Trong mỗi trường hợp, anh ta đã thử một vài biến thể của cuộc tấn công cơ bản.
Mặc dù thử nghiệm này đã tiết lộ một lỗi trong sản phẩm, nhưng khi lỗi đó được khắc phục, nó đã thực hiện quét sạch. Trong mọi trường hợp, nó phát hiện và ngăn chặn cuộc tấn công khai thác. Bạn có thể xem báo cáo đầy đủ trên blog của Kafeine, Phần mềm độc hại không cần Cà phê.
