本土資安廠商艾克索夫(X-Slove)將於明年1月,正式推出第一款由國人自主研發,協助資安鑑識人員工作分析惡意程式的工具Archon Scanner 2007。艾克索夫表示,這套系統會監控掃描所有軟體執行中的行為,並以入侵行為的模式,作為惡意程式判定的基準。這也是少數針對資安鑑識人員推出的惡意程式分析工具,在企業環境的使用上,仍須與防毒軟體等相輔相成。
對於現有企業資安最大的威脅,往往來自具有自我隱藏功能的Rootkit,以及具有多種變種的間諜程式。艾克索夫Archon Scanner分析引擎主要開發者邱銘彰表示,一般企業內的資安人員,在面對已經遭到入侵的環境時,往往因為多數企業事前沒有安裝監控程式,無法提供事前紀錄給資安鑑識人員作為進行交叉比對的資料基準;再加上資安鑑識人員多使用免費的、缺乏自動化分析的鑑識工具,分析工具資料各自獨立、需進行人工分析,需要進行檢測的電腦數量太多,也都使得資安鑑識工作進度如牛步般進度緩慢。
有別於現有防毒軟體以檔案內容為依據,進行特徵碼比對的偵測方式,邱銘彰表示,該惡意程式分析工具主要是以軟體執行中的行為,作為分析的基準,在進行全機掃描時的時間,可以從2~3小時,大幅縮減到5分鐘以內。他說,也因為Archon Scanner 2007是以入侵行為做為分析基礎,所以不會因為惡意程式的變種,或者是應用加殼(Packed PE)、加密技術,而無從判別惡意程式的存在。
Archon Scanner 2007可以分析不正常的網路程式、不正常的登錄碼(registry key)或啟動方式、使用惡意注射的DLL型式或採用其他偽裝技術的間諜程式、使用者模式的API-Hooking、核心模式的SSDT Hook或者是核心模式的Rootkit,甚至是隱藏中的Process。也因為是以軟體執行時的行為和特徵,作為是否為惡意程式的判斷依據,邱銘彰說,Archon Scanner 2007對於許多未知的攻擊或惡意程式,在判讀分析的效率上,也快過現有採用樣式(pattern)或特徵(signature)比對的防毒、反間諜軟體。
Archon Scanner 2007是艾克索夫推出的第一個商業化的惡意程式分析工具,之前都僅限於特定的資安鑑識單位使用,包含軍方、調查局、關貿網路等單位。預計明年1月推出正式版,單機版建議售價80,000元,明年中會推出具有中控管理軟體的企業版。文⊙黃彥棻
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-08
