新的里程碑 | Windows Defender已找到對抗“HIV”的方法

在生物學中，最明智的攻擊方式不是暴力突破身體的防禦機制，而是讓免疫系統也能為它所用，最著名的是HIV病毒。但事實證明，計算機也面臨著同樣型別的惡意軟體威脅—— 它們可以防止被反病毒軟體清理，甚至可以控制計算機的守護程式。因此，惡意軟體可以完全滲透到系統的每個部分並修改硬碟和記憶體中的資料。

好訊息是，在Windows Defender部落格上，微軟宣佈他們已經找到了在沙盒中執行Windows Defender反病毒軟體的方法。

Windows Defender防毒軟體已經達到了一個新的里程碑：Windows上的內建防病毒功能現在可以在沙箱中執行。通過這一新的開發，Windows Defender 成為第一個擁有此功能的完整防病毒解決方案，並繼續引領行業提高安全性。

關於沙盒的主要問題

效能通常是圍繞沙盒引發的主要問題，特別是考慮到反惡意軟體產品處於許多關鍵路徑中，例如同步檢查檔案操作和處理以及聚合或匹配大量執行時事件。為了確保效能不會降低，微軟必須儘量減少沙箱和特權程式之間的互動次數，同時，只在成本不顯著的關鍵時刻執行這些互動。

因此，維護一個模型是至關重要的，沙盒可以根據需要請求資料進行檢查，而不是傳遞整個內容。

沙盒的另一個重要問題是與程式間通訊機制有關，以避免諸如死鎖和優先順序倒置等潛在問題。此外，沙盒過程本身不應觸發檢查操作。所有檢查都應該在不觸發額外掃描的情況下進行。這需要完全控制沙箱的功能，並確保不會觸發意外操作。

Windows Defender

Windows Defender是一種內建的反惡意軟體解決方案，可為桌上型電腦，行動式計算機和伺服器提供下一代保護。

Windows Defender 包括：

• 雲端交付保護，可實現近乎即時的檢測並阻止新出現的威脅。除了機器學習和智慧安全圖之外，雲交付保護還是為Windows Defender提供支援的下一代技術的一部分。

• 使用高階檔案和程式行為監控以及其他啟發式（也稱為“實時保護”）進行永久線上掃描。

• 基於機器學習，人工和自動化大資料分析以及深入的威脅抵抗研究的專用保護更新。

如何啟用“沙盒”？

微軟稱，Windows Defender是第一款完全採用此功能的防病毒軟體解決方案。微軟現已將此功能推向Insider測試人員，但也可以在穩定的系統中手動啟用：

• 開啟‘開始選單’，準備執行‘命令提示符’（cmd.exe）；

• 記得右鍵點選，然後選擇‘以管理員身份執行’；

• 輸入 SETX / M MP_FORCE_USE_SANDBOX 1；

• 按下‘Enter鍵’並等待驗證；
  

• 重啟計算機。
  

啟用沙箱後，客戶將看到MsMpEngCP.exe與反惡意軟體服務MsMpEng.exe一起執行的內容程式。

微軟表示，正在逐步為Windows內部人員啟用此功能，並不斷分析反饋以優化實施。

使用者還可以通過設定計算機範圍的環境變數（setx / M MP_FORCE_USE_SANDBOX 1）並重新啟動計算機來強制啟用沙盒實現。 

目前，Windows 10，版本1703或更高版本目前支援此功能。

參考來源：

• microsoft
  
• meterpreter
  

- End -