2009年12月18日 星期五

即時通訊傳檔的安全掃描(Security Scan for IM Transferring)

現在的即時通訊(IM)相當的發達,無論是Windows Live Messanger(WLM)、Skype或Gtalk...等,都屬於是即時通訊的一種,先前一波透過即時通訊,來散布病毒與惡意連結的掘起之後,現在的防毒軟體,「基本上」都具備掃描即時通訊傳檔的功能(這邊以WLM為例,至於一般版本的Skype,似乎沒有辦法針對這部分來做手動掃描的設定),至於是由使用者手動設定,或是由防毒軟體本身,來修改即時通訊(WLM)中的檔案傳輸時的病毒掃描設定。


(例:C:\Program Files\...\navwnt.exe)


看到這邊我想應該很多人會說,這個東西網路上應該隨便搜尋就有一大堆教學的設定,如果是由防毒軟體(例:NIS)直接修改即時通訊的設定,這部分就相對的單純許多,因為它就會有單一程式(navwnt)針對這部分來加強,如果防毒軟體廠商沒有這麼做的話要怎麼辦?其實也沒有關係,因為各家廠商通常在掃描的部分會有特定一隻程式來負責。

單以我目前試用過確定可行的至少有包括下列各項防毒軟體,是能夠透過手動設定來進行檔案傳輸時的掃描。

1.AntiVir:資料夾中的「avscan.exe」加上參數設定
例:"C:\Program Files\...\avscan.exe" /guimode=2 /path=%file%

/GUIMODE=1~3(代表各種掃描視窗的顯示)

2.KAV、KIS:資料夾中的「avp.exe」加上 "scan %1"
例:"C:\Program Files\...\avp.exe" scan %1

3.SEP:資料夾裡的「DoScan.exe」,加上參數設定
例:"C:\Program Files\...\DoScan.exe" /cmdlinescan /logfile="msn.log" %1

其實手動掃描的設定,是可以直接透過該程式的help檔,來取得相關的設定說明,例:SEP的「DoScan.exe /?」。

DoScan.exe /?

雖然我們可以透過手動設定來強制防毒軟體進行掃描,但是你如果實際去檢查過它的掃描動作(透過日誌檔),你就會發現它其實並沒有你想像中的單純,甚至有時候會因為防毒軟體在掃描這部分的設定方式,把整個系統給拖垮。(這也是為什麼我會寫這一篇的主因

掃描時的狀況:

1.KAV、KIS:「原則」只要經過上述的設定,它就能夠為你掃描由即時通訊傳送過來的單一檔案(開啟一個命令提示字元的視窗)。


但是在我測試2010版時,發現了一個問題,如果你把即時通訊傳送檔案的儲存路徑,由原本的我的文件中的資料夾,改至桌面或是非系統磁碟區時,這一行指令就會變全系統掃描,如果你多收幾個檔案,它就會開啟多個全系統掃描的線程(Process),後果我就不用明講了吧?系統延遲還算是小事,嚴重一點甚至會造成當機或程式關閉的狀況發生。

2.AntiVir和SEP:手動設定後,除了掃描接收的檔案之外,還會做快速掃描。

這部分只能說它們謹慎,但是,一旦接收了多個傳送過來的檔案之後,這樣子的掃描動作是否合宜?或是會造成了重覆資源的一種浪費呢?這部分可以去查看相關的報表就可以發現他們掃描動作的細節。


(例:AntiVir的掃描結果)

光是從這些透過即時通訊傳檔時的掃描結果,可以看出防毒軟體廠商是否該做這個掃描功能的重要性,當然,有些防毒軟體在自己的設定介面中的確有這部分的防護,但是在WLM中的設定路徑上似乎看不見它的相關防護,或許是採用別的方式來進行檔案的掃描或防護,不過...若是在傳輸檔案完成之後,就馬上進行相關的掃描,對於使用者來說的觀感應該也好得多。

再不然就只好等防毒軟體自己發現,或是使用者親自執行或解壓縮時,才有機會被防毒軟體攔截或刪除,也許這樣子的想法,對於使用者的觀感上會好一點,畢竟現在的防毒軟體差異並沒有想像中的大,最主要的差別,我想除了價格之外,應該就是使用者的觀感吧!

PS:如果上述防毒軟體有針對即時通訊的檔案傳輸上有其它的技術程式,能夠專門處理這部分的安全問題,還請各位高手不吝嗇的補上,至少內文中所提及方法,應該是廣大網友們的自我求生之道。