后XP时代,EMET助你抵御恶意软件攻击
ASRC 研究中心主任 高铭钟

现今的世界已经无法跟计算机脱离。根据NetMarketShare于2013-2014年间的统计,目前最多人使用的操作系统仍为Windows系列,而使用的Windows版本则以Windows 7与Windows XP占最多。许多人也听闻,Windows相比其它操作系统更易中毒或受恶意软件攻击。事实上,并不是Windows的设计较为脆弱,而是使用族群多,研究Windows作业平台的弱点对于黑客来说,较具经济效益。


(数据摘自NetMarketShare 2013-2014年统计资料)

如果您也是Windows操作系统的用户,那您每天都有可能面对新的恶意软件攻击。虽然安装防毒软件可以降低部份的风险,但防毒软件病毒特征的产生可能需要通过防毒软件开发公司用特定的方法搜集;部份恶意软件则需要「受害者」出现后,才能捕捉到恶意软件的样本并制作病毒特征。现在越来越多的恶意软件都非常「低调」而不流行,并且具有「有针对性」,因此搜集并不容易。在恶意软件散布与产生病毒特征前的空窗期,非常容易受到恶意软件的攻击。

过去的信息安全概念指出,可执行文件诸如:.exe、.bat、.scr…等,这些文件如来路不明,直接开启则可能使你的计算机曝险,一般防毒软件也都会特别针对可执行文件进行防护;但若恶意软件隐身于文件档,比方:.pdf、.doc…等,待开启文件时直接攻击开启文件程序的弱点,又该如何防范呢?面对这样的困境,或许在安装防毒软件之外,您可以考虑一并安装Microsoft开发的安全强化工具EMET(Enhanced Mitigation Experience Toolkit)。

EMET可以协助预防软件中的弱点被利用。在本文撰写时,Microsoft建议使用的EMET版本为4.1。EMET 4.1版用以抵御恶意软件攻击所采用的方法很多种,但主要是下列这四个主要的防护功能:

  • DEP (Data Execution Prevention数据防止执行)
  • SEHOP (Structured Exception Handling Overwrite Protection防止结构异常处理覆写)
  • ASLR (Address Space Load Randomization,内存位置编排随机化)
  • Pinning (Certificate Trust,凭证信任功能)

沙箱的旁路分析架構

这几个功能都是在协助你避免执行来源不明、已被插入恶意软件的程序代码,或增加恶意软件对内存已知地址的攻击难度,通过安装EMET,可以减低恶意软件或恶意文件在计算机中被执行或触发的可能性。安装EMET的方式极简单,您可以到官网(http://www.microsoft.com/en-us/download/details.aspx?id=41138)下载EMET后,直接进行安装,过程中可能会要求你安装.Net Framework的套件。安装完成后,可套过EMET GUI进行设置,微软官方有一个建议的设置值为「Recommended security settings」,您可以直接采用此设置值来保护您的计算机;如您的计算机使用的软件单纯,又希望能有更强的保护能力,您也可以考虑使用最高的安全设置「Maximum security settings」。部份设置变动后可能需要依据EMET GUI的提示,重启计算机才会发挥保护效果。


当您执行了有问题的程序时,EMET会阻止程序的执行,并显示警告。



但EMET没有成为Windows系统的默认程序,可能是因为有许多工具程序为了保护其程序不被反组译或有其他特定目的,在EMET的保护架构下没办法正常运行,比方已停止发展的Google Talk。当遇到此类误判时,您也可以通过EMET GUI,并点击Apps,加入对信赖程序的例外设置。



最后,Microsoft在今年已经停止对Windows XP的更新支持,亦即往后Windows XP发现的新漏洞都不再修补。如果您因某些原因不能马上更换您的操作系统,而仍必须使用一阵子的Windows XP,则于其上的应用程序仍必须尽量定时更新,除了安装防毒软件外,也建议您可以安装EMET(Windows XP上仅提供DEP与认证信任等部份保护能力),并搭配Google Chrome作为预设浏览器,即可有效降低在更换操作系统前可能面临的风险。
回到列表