免安裝與特徵比對，Sophos推出惡意程式掃描與清除工具

端點防護軟體應用發展相當成熟，但近年來因為APT威脅層出不窮，針對應用程式漏洞發動攻擊的惡意程式越來越多，也使得這類產品能否提供足夠的安全防護，備受質疑，因此除了持續強化事前預防，及早攔截之外，有些廠商開始尋求其他輔助作法。今年5月上市的Sophos Clean，即是為此而來。

它是一套免安裝、可直接啟動（run on demand）的惡意軟體掃描程式，本身的檔案大小只有11MB，你可以將Sophos Clean的EXE執行檔，放在USB外接硬碟或隨身碟、CD或DVD光碟片、NAS上，使用者只要點選它，就可以開始隨時進行掃描與修正的工作，不會持續常駐在記憶體（但執行這支程式的電腦需要連上網際網路）。

Sophos Clean無需安裝就可以執行，但也可以在初始設定時，在執行的Windows電腦上，就可以建立副本，同時建立桌面捷徑與開始選單裡面的捷徑，方便日後啟動。

而且如果使用者電腦已經安裝Sophos或其他廠牌的防毒軟體，照樣可以執行Sophos Clean，掃描與清除本機的惡意程式。在定位上，它屬於屬於矯正資料外洩行為（Breach Remediation）的產品，有別於現行的惡意程式防護軟體。

乍看之下，Sophos Clean的使用方式，很像以前一度流行過的線上簡易掃毒工具，或是防毒廠商推出的單機版免費掃毒與解毒工具（Sophos本身就有Virus Removal Tool），但實際上不然。

因為，Sophos Clean所執行的惡意軟體與檔案掃描，並非仰賴傳統特徵碼比對的技術，而是透過行為分析、數位鑑識與綜合收集情資等方法，找出零時差漏洞攻擊的威脅、木馬程式、rootkits、變種惡意軟體，以及Cookies、間諜軟體、廣告軟體，並予以移除。

執行掃描作業時，Sophos Clean可在5分鐘內完成，會先經過檔案盤點、分類等程序，過程中不需耗費太多時間。因為它僅需透過進階行為分析，以及可信賴應用程式資料庫的內容比對，即可立即分辨是否為惡意軟體。

相較於Sophos 自家的Virus Removal Tool，Sophos Clean會檢查整個電腦系統，而且不只是移除惡意軟體，還會清除惡意軟體殘留的蹤跡，像是檔案與系統登錄鍵值。
圖中為30天試用版，因此並未提供移除病毒與惡意軟體的功能。

經過Sophos Clean掃描之後，最後會產生偵測的結果。

這些新採用的技術，主要來自於Sophos去年底併購的SurfRight公司，而新發表的Sophos Clean，正是架構在SurfRight的HitmanPro之上。

圖中為Sophos Clean的前身——SurfRight的HitmanPro，和如今推出的Sophos Clean十分神似。

該公司發展了即時防禦漏洞利用攻擊的技術，能夠偵測與預防記憶體遭到竄改與濫用，使得惡意程式碼無法於在此率先執行。而如果能在早期就全面預防漏洞攻擊，將大大強化端點安全防護，並阻擋惡意程式碼進入處理器與記憶體裡面執行。

在SurfRight的端點防護技術下，對於當前CryptoLocker這類勒索軟體的威脅持續擴大，也有助於遏止繼續散播。

產品資訊