Windows 8包括被称为Windows防御器的反病毒有多安全？

Question

新的Windows 8杀毒软件被称为Windows防御软件，安全性如何？

它有防止恶意软件使用UAC旁路/进程注入/rootkit/进程持久性/直接在内存中运行二进制文件的保护吗？我能信任Windows Defender多少？它比卡巴斯基/安蒂维尔这样的普通AVs更好吗？

Answer 1

让我们分析一下您希望AV防止的每一种技术：

UAC : Windows环境中使用可信根证书运行的任何进程都可以关闭其自身进程的UAC位以及由此产生的任何进程。这意味着，如果恶意代码可以将自己注入到使用可信证书运行的进程中，则它将拥有注入进程的所有权限。然后，如果您创建另一个进程，您可以轻松地关闭它的UAC位，因为这是Microsoft的内置功能。这是UAC旁路的Metasploit框架所采用的技术。

进程注入:微软提供了一个名为LoadLibrary的API，您可以通过它将任何任意的DLL从磁盘加载到正在运行的进程中。恶意代码所做的唯一事情是从内存中加载任意DLL，而不是从磁盘加载。这是通过一种名为反射DLL注入的技术实现的，Meterpreter也使用了这种技术。

Rootkit检测:Rootkit在零环(内核级)运行，反病毒产品在用户空间运行。大多数情况下，AV只会将某些API挂在内核中。在用户空间以下运行的任何进程都不能由AV进行分析。在Vista之前，AV产品用来在内核中加载驱动程序进行监视。然而，在PatchGuard的引入之后，这种技术已经不能再被反病毒软件所使用。

直接在内存中运行进程:这是AVs取得了一些进展的领域。现在，即使您直接与正在运行的进程交互，AV也会检查进程从网络接收到的通信量，并检查它是否存在恶意签名。然而，这种方法有两个缺点:第一，它是基于签名的检查，因此它本身就很弱。第二，它只用于常见的Windows进程，如SMB。

正如你所看到的，你最想要保护的东西，是任何AV产品都无法有效防御的东西。您提到的大多数项目本质上都不是恶意的。相反，这些都被认为是“特性”。在Windows 8中，Windows Defender是微软安全要点和微软防御软件的结合。从好的方面来说，它是免费的，而且性能影响很低。但是，如果您真的想要防止您提到的技术，Windows Defender或任何其他AV产品将无法提供有效的解决方案。对于这类攻击，微软还有另一款产品叫增强缓解经验工具包(EMET)。

Answer 2

首先，我应该说，现代的a都不是防弹的，所有这些都可以被一个坚定的攻击者绕过。

因此，关于是否信任Windows 8's内置的A的决定取决于您的优先级和您希望达到的安全级别。

对A解决方案进行了一些比较分析，认为防御者对目标攻击的抵抗能力比其他解决方案差，但我认为，在某种程度上，所有的A方案在某种程度上都不利于这类攻击。

我所看到的防御系统的优点是它与操作系统集成，所以不太可能破坏系统的运行，而且在我的经验中，与我使用过的其他A系统相比，它的性能受到了很低的打击。

因此，正如我所说，这是在安全级别与解决方案的便利性之间进行权衡。

如果您正在寻找非常高级别的安全性，我会更倾向于使用像bit9这样的解决方案，它使用白色列表方法，而不是A使用的基于签名的传统方法。