免安裝與特徵比對,Sophos推出惡意程式掃描與清除工具

2016-8-19

 

 

 

Sophos併購SurfRight之後,推出了Sophos Clean的單機掃毒與清除工具,採用了無需特徵碼比對的惡意軟體分析技術,而且5分鐘內即可掃描完畢。

 

端點防護軟體應用發展相當成熟,但近年來因為APT威脅層出不窮,針對應用程式漏洞發動攻擊的惡意程式越來越多,也使得這類產品能否提供足夠的安全防護,備受質疑,因此除了持續強化事前預防,及早攔截之外,有些廠商開始尋求其他輔助作法。今年5月上市的Sophos Clean,即是為此而來。


它是一套免安裝、可直接啟動(run on demand)的惡意軟體掃描程式,本身的檔案大小只有11MB,你可以將Sophos Clean的EXE執行檔,放在USB外接硬碟或隨身碟、CD或DVD光碟片、NAS上,使用者只要點選它,就可以開始隨時進行掃描與修正的工作,不會持續常駐在記憶體(但執行這支程式的電腦需要連上網際網路)。

 

Sophos Clean無需安裝就可以執行,但也可以在初始設定時,在執行的Windows電腦上,

就可以建立副本,同時建立桌面捷徑與開始選單裡面的捷徑,方便日後啟動。


而且如果使用者電腦已經安裝Sophos或其他廠牌的防毒軟體,照樣可以執行Sophos Clean,掃描與清除本機的惡意程式。在定位上,它屬於屬於矯正資料外洩行為(Breach Remediation)的產品,有別於現行的惡意程式防護軟體。


乍看之下,Sophos Clean的使用方式,很像以前一度流行過的線上簡易掃毒工具,或是防毒廠商推出的單機版免費掃毒與解毒工具(Sophos本身就有Virus Removal Tool),但實際上不然。


因為,Sophos Clean所執行的惡意軟體與檔案掃描,並非仰賴傳統特徵碼比對的技術,而是透過行為分析、數位鑑識與綜合收集情資等方法,找出零時差漏洞攻擊的威脅、木馬程式、rootkits、變種惡意軟體,以及
Cookies、間諜軟體、廣告軟體,並予以移除。

 

執行掃描作業時,Sophos Clean可在5分鐘內完成,會先經過檔案盤點、分類等程序,

過程中不需耗費太多時間。因為它僅需透過進階行為分析,以及可信賴應用程式資料庫的內容比對,

即可立即分辨是否為惡意軟體。

 

相較於Sophos 自家的Virus Removal Tool,Sophos Clean會檢查整個電腦系統,

而且不只是移除惡意軟體,還會清除惡意軟體殘留的蹤跡,像是檔案與系統登錄鍵值。
圖中為30天試用版,因此並未提供移除病毒與惡意軟體的功能。

 

經過Sophos Clean掃描之後,最後會產生偵測的結果。


這些新採用的技術,主要來自於Sophos去年底併購的SurfRight公司,而新發表的Sophos Clean,正是架構在SurfRight的HitmanPro之上。

 

圖中為Sophos Clean的前身——SurfRight的HitmanPro,和如今推出的Sophos Clean十分神似。


該公司發展了即時防禦漏洞利用攻擊的技術,能夠偵測與預防記憶體遭到竄改與濫用,使得惡意程式碼無法於在此率先執行。而如果能在早期就全面預防漏洞攻擊,將大大強化端點安全防護,並阻擋惡意程式碼進入處理器與記憶體裡面執行。


在SurfRight的端點防護技術下,對於當前CryptoLocker這類勒索軟體的威脅持續擴大,也有助於遏止繼續散播。

 

文章出處:李宗翰 | 20160705發表