XP防护首次国际评测 360排名世界前列
微软停止Windows XP服务支持已有半月时间,全球仍有大量XP用户未升级系统,安全软件对XP系统的防护能力成为关注焦点。据外媒报道,国际知名安全机构COSEINC对XP防护软件进行了模拟攻击测试,结果显示,八款安全软件对XP漏洞攻击的平均拦截率仅为63.3%,来自中国的360安全卫士则是唯一100%拦截所有漏洞攻击的安全软件。
XP漏洞攻击测试 360唯一全部拦截
COSEINC选择了15个已知漏洞进行“黑盒”测试,模拟黑客针对IE8浏览器、Office2003和XP内核漏洞进行攻击。攻击效果为利用漏洞执行程序、启动恶意进程、获取系统权限等。如果安全软件无法阻止漏洞利用,则意味着防御失败。
在COSEINC测试中,360安全卫士拦截全部15次漏洞攻击,防御成功率排名第一;Avira(小红伞)成功拦截12次攻击,以80%的拦截率排名第二;卡巴斯基和AVG均拦截11次攻击,并列第三位。
其他两款国产安全软件表现欠佳,金山毒霸和腾讯电脑管家均只拦截5次攻击,防御成功率仅为33.3%,在COSEINC的测试中排名垫底。而在此前国内进行的XP挑战赛上,腾讯和金山也分别在两分钟内被黑客攻破。
图:XP防护测试中,360成功拦截所有漏洞攻击
360 XP盾甲防护秘技:为XP提供安全“大补丸”
据COSEINC报告显示,本次评测是基于XP已知的漏洞进行的。针对这些漏洞,微软均已经发布相应的安全补丁,相关漏洞细节也共享给了安全厂商。但从此次评测看来,如果没有微软补丁,漏洞攻击样本简单变形就可以绕过大多数安全软件。
作为本次评测中唯一成功拦截各项漏洞攻击的安全软件,360XP盾甲的秘诀是把很多Win7、Win8甚至iOS才有的防护技术移植到XP系统上,给XP一剂安全“大补丸”。
全方位解读360XP盾甲防护技术:
1、DEP数据执行保护,这个安全特性使得攻击者存储在数据中的恶意代码无法执行,虽然XP SP2内核开始支持此特性,但是默认只对系统程序开启,且可以很容易地通过ret2lib的方式被恶意程序关闭,在新的操作系统中默认是不允许关闭的;
2、ASLR地址随机化,Vista开始支持此机制, 这个安全特性使得攻击者编写的恶意代码无法在用户系统上运行;
3、SEHOP,XP SP2就有了,但那时系统的很多库还不支持safeseh编译,所以直到vista才算真正有作用。它的作用是对SEH链条的完整性做防护和检查,防止通过覆盖SEH执行恶意代码;
4、Security cookie:用于防止栈溢出执行恶意代码,Win系统在Win8之前security cookie的随机数熵质量较低,且和模块加载时间相关,随机性不强,Security cookie+在模块加载时增强其cookie的熵质量,Win8开始有类似机制;
5、memory alsr:在内存中制造空洞,随机化内存分配,可以对抗heap spray,UAF漏洞利用等;
6、Null page protection:针对空指针引用型的内核漏洞做防御 Win8开始系统加入此机制;
7、anti stack pivot:防止通过ROP(面向返回的编程方式,用于对抗DEP)切换堆栈, Win8开发者预览版中曾加入,正式版本中取消;
8、vdm block:阻止调用存在大量漏洞的vdm组件, Win8开始加入;
9、KALSR:内核地址随机化,阻止用户态获取内核地址信息,防止内核漏洞攻击, Win8.1开始对ie,metro app加入;
10、anti-rop:防止ROP方式绕过DEP执行恶意代码。
360XP盾甲的这些安全特性加固了XP系统以及Office、IE浏览器的安全性弱点。同时可以看到,anti stack pivot和anti-rop这样的安全特性,在最新的Win8.1和苹果操作系统也不具备。再加上沙箱隔离防护措施,即使是遍布漏洞的XP系统,穿上360XP盾甲后,黑客也难以攻破。