防毒软件侦测篇

今天算是以病毒与防毒软件为主的方向。
这篇不在原本的安排之内，
不过昨天恶意程序分析之後，
发现有些东西好像不适合放在昨天，
可是又觉得好像应该要讲一下。

照惯例，每篇文章都会附上第一篇的文章，让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252

1.甚麽是木马, 蠕虫, 病毒？

同样都是恶意程序，木马通常是透过无害的档案，但档案当中带有恶意的片段程序码，不会进行自我复制；蠕虫通常可利用网路进行自我复制扩散传染；进入资讯设备後未经授权执行，影响使用者正常行为或是造成危害的程序可称为病毒。

2.甚麽是勒索软件(Ransomware)?

是一种病毒，会把你电脑里面的档案或资料进行加密，然後攻击者会勒索你要求你付赎金，才会给你解密的金钥。

3.甚麽是无档案病毒(Fileless Malware)攻击?

是一种档案不落地执行恶意程序码的病毒攻击，让防毒软件侦测与事後调查的难度都增加。

趋势科技的部落格，有一些关於Fileless Malware的文章可以参考
https://blog.trendmicro.com.tw/?p=57676

4.防毒软件有哪些侦测与分析病毒的方法？

特徵比对、信誉平等、启发式、HIPS、行为分析... (其实就是接下来的题目XDD)

5.甚麽是特徵比对？有甚麽优缺点？

根据已知的条件(例如程序码、档案Hash等等)进行比对。优点是误判率较低，缺点是只能侦测已知的恶意程序，遇到变种病毒就无法。

6.甚麽是信誉评等(Reputation-based)？有甚麽优缺点？

透过对网页或是档案进行安全性评分的一种机制，再透过大数据资料库，来去看这个网页或是档案的安全性评分如何。缺点是如果是自行开发的小程序，常有误判情形。

7.甚麽是启发式侦测技术(Heuristic)？有甚麽优缺点？

启发式是用一系列的规则来侦测恶意程序的ㄐ机制，而不是基於病毒资料库的传统方式。有静态与动态启发式。优点是可以发现到变种的病毒，缺点是误判率会比较高。

8.甚麽是HIPS主机入侵防御？有甚麽优缺点？

HIPS机制概念上有点像是防火墙，可以透过预定的规则，来允许或阻挡电脑中的行为。通常会有AD应用程序防护、RD注册表防护、FD档案防护。

9.甚麽是行为分析侦测防毒？有甚麽优缺点？

行为分析就是如果有侦测到特定的行为(疑似恶意行为)，就会被判定为恶意程序。优点与缺点都是行为必定会存在，例如，今天不管是恶意程序想关闭UAC，或是我自己写的程序想关闭UAC，都一定会触发关闭UAC的行为。

10.甚麽是AI人工智慧(或ML机器学习)侦测防毒？有甚麽优缺点？

透过机器学习的技术来找出可能的未知病毒。优点是可以侦测变种恶意程序，但需要大量的Sample。

11.你有知道甚麽样的觉得特别的防毒技术吗？是哪一个防毒软件的？

其实各家厂商的防毒软件技术，都各有一点特色，有兴趣可以多看看一些产品介绍XD
虽然大部分还是都大同小异，技术原理可能差不多（？，
不过使用者体验或是一些设定细微程度有差，但这个通常才是影响使用者会不会继续使用的关键呀～

然後关於防毒软件

我自己觉得微软内建的Windows Defender

还满够用的

若有要补充也都欢迎留言