如何有效确保终端安全

Sophos Endpoint Security and Data Protection 9.0.0

　　Sophos Endpoint Security and Data Protection除了具有常见的反病毒/间谍软件等功能外，还有一些有趣的附加功能，同时它还内建了缓冲区溢出保护功能，以应对越来越常见的缓冲区溢出攻击。

　　Sophos的界面看上去类似Windows的资源管理器，甚至还带有前进和后退按钮，有时候我会误将其当做Windows资源管理器。总之，我们觉得这种直观且简洁的界面要比那些华丽的界面更让人容易习惯。

　　不同之处

　　和上面介绍的Kaspersky以及 McAfee相比， Sophos 对于系统没有太深入的嵌入动作，但是这种嵌入的深度仍然要高于Trend Micro 和 ESET。比如 Sophos与SSDT中的ZwSetSystemInformation 函数挂钩，这个函数是一些内核rootkit在加载时常用的非标准方式。这意味着Sophos 也具有一定的入侵检测功能。

　　除了在 SSDT中的钩子，Sophos还与大量常用函数挂钩，如全部的svchost 进程LSASS以及 Windows Explorer ，共同实现前面提到的“缓冲区溢出保护”功能。

　　扫描结果

　　在全部2297个病毒样本中，Sophos漏掉了226个，在对比产品中属于中等水平。

　　重新封装恶意软件测试

　　Sophos在这个测试项目上表现的很有趣，它可以检测出很多通过高级封装形式封装的恶意软件，如利用Obsidian和 VMProtect封装的大部分恶意软件，但是却漏掉了大部分通过基本的UPX 和 Multi Packer 封装的恶意软件。在全部27个样本中，检测出13项。

　　商业后门软件测试

　　Sophos除了针对高级封装器有强大的检测效果外，它还是唯一一个检测出CANVAS MOSDEF的反病毒软件。另外，它还检测出了Metasploit bind shell 的一种编码方式 (call4_dword_xor)，不过没有检测出未编码的二进制文件。很明显，它是将编码后的恶意软件当成了有可能的潜在威胁，而对于未编码文件则没有考虑。

　　在CANVAS rootkit 测试中，我们注意到，虽然Sophos HIPS警告了有驱动被载入系统，但是却没能阻止驱动的载入。默认情况下， HIPS只是警告用户但并不阻止。一旦我们将其设置为直接阻止载入动作，那么我们所做的所有进程注入动作都会被阻止，甚至还会阻止 GMER存储后缀为.sys的文件。

　　一旦Sophos检测出CANVAS可执行文件试图实施某些可疑动作，它便对其进行标记，以后该软件每次运行，都会弹出一个警告窗，询问用户是否要执行该程序。将可执行文件拷贝或改名也不能取消这个标记。

　　防火墙测试

　　在我们看来，Sophos防火墙的默认设置有些刻板，需要用户在安装后进行适当的修改。防火墙部分的界面看上去有些呆。不过和其它防火墙一样，它可以通过学习的方式记住用户常用的软件，以便开放相应的端口。从好的方面来讲，Sophos防火墙拥有不错的Internet Control Message Protocol (ICMP) 协议规则，比如不接受ICMP 重定向，这可以阻止man-in-the-middle类型的攻击。

　　(Credit: Securus Global)