web-dev-qa-db-ja.com

Windows Defenderと呼ばれるWindows 8に含まれるアンチウイルスはどの程度安全ですか?

Windows Defenderと呼ばれる新しいWindows 8アンチウイルスはどの程度安全ですか?

UACバイパス/プロセスインジェクション/ルートキット/プロセスの永続化/バイナリをメモリ内で直接実行するマルウェアに対する保護はありますか? Windows Defenderをどれだけ信頼できますか? Kaspersky/AntiVirのような通常のAVよりも優れていますか?

42
Hidden

AVで保護したい手法を1つずつ分析してみましょう。
UACバイパス:信頼されたルート証明書を使用して実行しているWindows環境のプロセスは、 [〜#〜 ] uac [〜#〜] 独自のプロセスのビットと、それによって生成されたプロセス。これは、悪意のあるコードが信頼できる証明書で実行されているプロセスに自分自身を挿入できる場合、挿入されたプロセスのすべての特権を持つことを意味します。次に、別のプロセスを作成すると、そのUACビットを簡単にオフにすることができます。これは、Microsoft Windowsの組み込み機能であるためです。これは、UACバイパス用のMetasploitフレームワークで採用されている手法です。
Process Injection:Microsoftは、任意のDLLからロードできるLoadLibraryと呼ばれるAPIを提供します悪意のあるコードが実行するのは、ディスクからではなくメモリ内から任意のDLLをロードすることだけです。これは Reflective DLL Injection 、Meterpreterも使用します。
ルートキットの検出:ルートキットはリングゼロ(カーネルレベル)で動作しますが、ウイルス対策製品はユーザー空間で実行されます。ほとんどの場合、AVはカーネルランドの特定のAPIのみをフックします。ユーザースペースの下で実行されているプロセスは、AVによって分析できません。 Vista以前は、AV製品は監視のためにカーネルにドライバをロードするために使用されていました。ただし、 PatchGuard の導入後、その手法はウイルス対策ソフトウェアでは使用できなくなります。
メモリ内で直接プロセスを実行:これは、AVがある程度進歩した領域です。現在、実行中のプロセスと直接対話している場合でも、AVはプロセスがネットワークから受信したトラフィックを調べ、悪意のある署名がないかどうかを確認します。ただし、このアプローチには2つの欠点があります。1つ目は署名ベースのチェックであるため、本質的に脆弱です。第2に、SMBなどの一般的なWindowsプロセスに対してのみ行われます。

ご覧のように、最も保護したいのは、どのAV製品も効果的に防御できない種類のことです。あなたが言及したアイテムのほとんどは、本質的に悪意のあるものではありません。むしろ、これらは「機能」と見なされます。 Windows 8では、Windows Defenderは、Microsoft Security EssentialsとMicrosoft Defenderソフトウェアの組み合わせです。プラス面としては、無料であり、パフォーマンスへの影響が少ないです。ただし、前述の手法から本当に保護したい場合、Windows Defenderやその他のAV製品は効果的なソリューションを提供できません。これらの種類の攻撃に対して、マイクロソフトは Enhanced Mitigation Experience Toolkit(EMET) と呼ばれる別の製品を用意しています。

46
void_in

私はこれから始めて、現代のA-Vは弾丸を証明するものではなく、それらのすべては断固とした攻撃者によってバイパスされることができると言います。

したがって、Windows 8の組み込みA-Vを信頼するかどうかの決定は、優先順位と、達成しようとしているセキュリティのレベルにかかっています。

防御側は他のソリューションよりも標的型攻撃に対して劣ると考えられるA-Vソリューションの比較分析がいくつかありますが、すべてのA-Vはその種のものに対してある程度劣っているということをお勧めします。

私が見ることができるdefenderの利点は、OSと統合されているため、システムの動作を中断する可能性が低く、経験上、使用した他のA-Vシステムと比較してパフォーマンスへの影響が少ないことです。

だから私が言うように、それはソリューションの利便性に対する望ましいセキュリティのレベルの間のトレードオフです。

本当に高いレベルのセキュリティを探しているのであれば、A-Vが使用する従来の署名ベースのアプローチではなく、ホワイトリストのアプローチを使用するbit9のようなソリューションを検討する傾向があります。

13
Rory McCune