2009年12月18日 星期五

即時通訊傳檔的安全掃描(Security Scan for IM Transferring)

現在的即時通訊(IM)相當的發達,無論是Windows Live Messanger(WLM)、Skype或Gtalk...等,都屬於是即時通訊的一種,先前一波透過即時通訊,來散布病毒與惡意連結的掘起之後,現在的防毒軟體,「基本上」都具備掃描即時通訊傳檔的功能(這邊以WLM為例,至於一般版本的Skype,似乎沒有辦法針對這部分來做手動掃描的設定),至於是由使用者手動設定,或是由防毒軟體本身,來修改即時通訊(WLM)中的檔案傳輸時的病毒掃描設定。


(例:C:\Program Files\...\navwnt.exe)


看到這邊我想應該很多人會說,這個東西網路上應該隨便搜尋就有一大堆教學的設定,如果是由防毒軟體(例:NIS)直接修改即時通訊的設定,這部分就相對的單純許多,因為它就會有單一程式(navwnt)針對這部分來加強,如果防毒軟體廠商沒有這麼做的話要怎麼辦?其實也沒有關係,因為各家廠商通常在掃描的部分會有特定一隻程式來負責。

單以我目前試用過確定可行的至少有包括下列各項防毒軟體,是能夠透過手動設定來進行檔案傳輸時的掃描。

1.AntiVir:資料夾中的「avscan.exe」加上參數設定
例:"C:\Program Files\...\avscan.exe" /guimode=2 /path=%file%

/GUIMODE=1~3(代表各種掃描視窗的顯示)

2.KAV、KIS:資料夾中的「avp.exe」加上 "scan %1"
例:"C:\Program Files\...\avp.exe" scan %1

3.SEP:資料夾裡的「DoScan.exe」,加上參數設定
例:"C:\Program Files\...\DoScan.exe" /cmdlinescan /logfile="msn.log" %1

其實手動掃描的設定,是可以直接透過該程式的help檔,來取得相關的設定說明,例:SEP的「DoScan.exe /?」。

DoScan.exe /?

雖然我們可以透過手動設定來強制防毒軟體進行掃描,但是你如果實際去檢查過它的掃描動作(透過日誌檔),你就會發現它其實並沒有你想像中的單純,甚至有時候會因為防毒軟體在掃描這部分的設定方式,把整個系統給拖垮。(這也是為什麼我會寫這一篇的主因

掃描時的狀況:

1.KAV、KIS:「原則」只要經過上述的設定,它就能夠為你掃描由即時通訊傳送過來的單一檔案(開啟一個命令提示字元的視窗)。


但是在我測試2010版時,發現了一個問題,如果你把即時通訊傳送檔案的儲存路徑,由原本的我的文件中的資料夾,改至桌面或是非系統磁碟區時,這一行指令就會變全系統掃描,如果你多收幾個檔案,它就會開啟多個全系統掃描的線程(Process),後果我就不用明講了吧?系統延遲還算是小事,嚴重一點甚至會造成當機或程式關閉的狀況發生。

2.AntiVir和SEP:手動設定後,除了掃描接收的檔案之外,還會做快速掃描。

這部分只能說它們謹慎,但是,一旦接收了多個傳送過來的檔案之後,這樣子的掃描動作是否合宜?或是會造成了重覆資源的一種浪費呢?這部分可以去查看相關的報表就可以發現他們掃描動作的細節。


(例:AntiVir的掃描結果)

光是從這些透過即時通訊傳檔時的掃描結果,可以看出防毒軟體廠商是否該做這個掃描功能的重要性,當然,有些防毒軟體在自己的設定介面中的確有這部分的防護,但是在WLM中的設定路徑上似乎看不見它的相關防護,或許是採用別的方式來進行檔案的掃描或防護,不過...若是在傳輸檔案完成之後,就馬上進行相關的掃描,對於使用者來說的觀感應該也好得多。

再不然就只好等防毒軟體自己發現,或是使用者親自執行或解壓縮時,才有機會被防毒軟體攔截或刪除,也許這樣子的想法,對於使用者的觀感上會好一點,畢竟現在的防毒軟體差異並沒有想像中的大,最主要的差別,我想除了價格之外,應該就是使用者的觀感吧!

PS:如果上述防毒軟體有針對即時通訊的檔案傳輸上有其它的技術程式,能夠專門處理這部分的安全問題,還請各位高手不吝嗇的補上,至少內文中所提及方法,應該是廣大網友們的自我求生之道。

6 則留言:

  1. avast! 的防毒似乎只要加入"C:\Program Files\Alwil Software\Avast4\ashQuick.exe" 即可。

    回覆刪除
  2. To How:
    多謝你的補充,因為我的使用範圍內沒有用上這一套,所以我在文中沒有謝上這套軟體的設定方法。

    或許,就是由你們實際使用過的人來補強,反而比較實在,只是它是掃描單一檔案還是會連帶進行系統的快速掃描呢?

    如果How知道的話,也可以留個言分享一下。

    回覆刪除
  3. 掃描時只針對單檔,並且掃描完後自動關閉,檔案小時幾乎只看到一個視窗一閃而過..(跟avast! 本身右鍵單檔掃描的設定相同)

    但剛有利用病毒用IM傳輸測試了一下,在傳一半時就會發現病毒,並未到傳完後才掃描,所以可以推測,已知的病毒的似乎在傳輸的時候就一併掃瞄了並且被攔截,IM傳完後掃描似乎是多餘的了?

    有遺漏或錯誤之處再請其他人補充了^^~

    也感謝您常常寫出很有內涵文章^^~

    回覆刪除
  4. To How:
      其實那種用在即時通訊的掃描跟單檔掃描的機制原本就雷同(指沒有針對這一塊特別做掃描的軟體),不過你做了病毒的傳送測試,代表它還是會先跟特徵碼比對。

    所以可能就如你所說,在手動的部分"也許"就不用設定,只是很難確定,手動掃描的部分是否會增加其它的過濾條件(例:壓縮檔內的挾帶的語法?),如果有的話,手動掃描就有它的意義。

    多謝你的測試,其實我最期望的就是能夠在文章中跟讀者有互動跟討論,或許這才是最快的進步之道,共勉之。

    回覆刪除
  5. doscan.exe似乎只能掃碰硬碟,不能指定檔案或資料夾

    回覆刪除
  6. To 星寂:(先前打錯字...So Sorry)

    其實很多防毒軟體本身並沒有針對特定"檔案"提供掃描...,所以它預設的掃描方式還是會針對掃描檔案的資料夾來做為掃描目標。

    只是我現在手邊沒有SEP可以再做嘗試,所以可能沒有辦法再做測試,不過目前我所有使用到的K牌防毒軟體,似乎也會有類似的狀況發生,甚至會有跨磁碟區掃描,會變成全系統掃描的狀況。

    所以你如果很在意這部分的話,可以考慮有針對這部分,提供獨立掃描機制的軟體,畢竟我們都是用它通用的功能,修改到我們想要的功能而已(至少也會掃描到該檔案...雖然損耗的效能有點不成比例),畢竟要完全符合每個人的需求,的確有它的難處存在。

    而且也有可能會因為版本的演進而有所不同...可能就要一直測試才能找到自己適用的方式,多謝你的留言,下次有機會的話,我會再嘗試看看。

    回覆刪除