Re: [技術] 雲端掃毒=用你的資源幫廠商

看板Soft_Job作者 (again)時間13年前 (2011/04/28 10:58), 編輯推噓4(4048)
留言52則, 9人參與, 最新討論串8/28 (看更多)
※ 引述《deanh (夜想者)》之銘言: : 對於自己不懂的東西,口氣就好一點。 只能說我不寫掃毒, 但是我寫 assembly, 我寫 driver, 我寫 os, 我也寫平行處理, 聽說現在要改稱雲端 我最喜歡的還是幫別人 debug, 改一行賺超過 $1000 : ※ 引述《sniffer (again)》之銘言: : : 用推文容易誤解, 還是另外寫 : : 雲端掃毒, 有網友說是只要檔案上傳檢查碼, 雲端告訴你有沒有問題, : : 這只是其中一個動作, 真正流程是: : : 一、 一個檔案用"你"的cpu掃過毒, 沒問題後, 用"你的"網路上傳到 server, 成為資料庫 : : 可能只上傳 digest, 也可能上傳整個檔 : : 問題: : : 1. 憑什麼用你的 cpu 幫他驗證 : 你裝防毒軟體不掃毒是要幹嘛?覺得防毒軟體吃CPU就不要裝啊。 : : 2. 憑什麼上傳你電腦的資訊給他用 : 所有廠商在安裝的時候,都會提供你是否願意提供資訊給防毒公司進行病毒分析。 : 你自己要勾選的。你要關上這個服務,所有防毒軟體都提供關閉的這個功能的選項 : ,非常好找,不管是N牌的檔案信譽評等、P牌的群體智慧等等,全部都有。 : 但是你關掉了分享功能,就不要怪對方廠商沒有使用於雲端防毒技術幫你處理你 : 可能的病毒。 這個選項範圍太廣, 擺明了就是要用你蒐集新檔案, 要"幫你", 雲端只跟你要檢查碼就夠了, 卻不分成兩個選項, 這叫綁架使用者 : : 3. 如果整個檔上傳, 還有版權問題, 作者有同意嗎 : 沒有防毒公司會整個檔上傳,你當防毒軟體公司是白痴啊?流量無限?你知道這世界上 : 有多少N牌防毒軟體? 遇到新的檔才做, 當然就不用每個人, 還有我有點說錯, 傳部份也一樣有版權問題, 如果特徵資訊牽涉程式流程, 例如把 jump 翻成 if, 這也是侵權 所以掃毒軟體公司都不敢公開技術細節 : : 4. 如果沒上傳這個檔, server 怎麼知道你電腦真的有掃過, 不是山寨 client : 防毒軟體廠商是從雲端下載特徵碼在本機比對。或是檔案的特徵檔上傳到Server上 : 這不一定,端看防毒廠商怎麼實作。 : 不是把你的檔案傳上去檢查是不是病毒。這個特徵碼的量很少,可以杜絕大部分 : 簡單的病毒,增加效率。 你們都在刻意模糊焦點, 我說的是遇到新的檔案, 假如只上傳檢查碼, 病毒作者大可以作假的資訊欺騙 不管是把有毒當沒毒, 還是沒毒當有毒, 都很有殺傷力, 之前某掃毒讓人開不了機, 就是沒毒當有毒 : : 二、 下次別人掃毒, 只要檔案跟你一樣, digest 就一樣, 就不用掃, : : 上傳 digest 比對就好 : : 問題: : : 1. digest 不代表不能假造, 他用哪種演算法? crc 的話等於沒用 : : 2. server 會知道你跟某人檔案版本一樣, 隱私安全無保障 : 不要再把防毒軟體公司當白痴了。 他們賺錢方面的確很聰明, 但是自稱資安廠商, 就是胡說八道 從台灣的 t 到俄國的 k, 都有出過很多網路有關的漏洞, 而且還是最簡單的那種: 1. 網路 socket 沒有權限檢查, 任何人都可以連 2. 網路資訊沒有 sanity check, buffer overflow : 你以為真的防毒軟體公司只抓digest?防毒軟體會取得許多檔案資訊,甚至是你電腦環境 : 的資訊,這些特徵值數量很多,每家防毒軟體公司可能都不一樣,可能有檔案大小, : 名稱、建立時間.......利用這些特徵值,防毒軟體公司可以利用雲端分析技術判斷這 : 個檔案可不可能是病毒,由於透過雲端技術的協助,防毒軟體公司可以比過去更快速的 : 發現先新種病毒,而不用等待各地的病毒收集站來回報。 如果你來自業界, 謝謝你證實雲端會蒐集新病毒 ^_^ 請不要逃避前面的問題, 掃毒軟體只是一個裝在電腦裡的程式, 他跟雲端的一切溝通, 當然都可以假造, 當年 SETI 就被人假造運算完成筆數 當你擁有一個 protocol 的程式, 破解 protocol 就沒有什麼難度, 密碼也幫不上忙, 畢竟加密的 key 就在程式裡 : 簡單來說,這是一種利用群體智慧來偵測病毒的新方式。也可以用簡單的方式判斷這 : 是不是正常檔案,進而減低掃描時間。 : 至於防毒軟體公司如何利用收集到了的資料偵測病毒,那是防毒公司的專利,肯定不是 : 你能想出來的。 好像廣告詞, 來自美國高科技, 獨家專利 : 另外,各家防毒軟體公司絕不可能利用你所上傳的資料反追蹤出你是哪個用戶。因為裡面 : 根本不會有可以追蹤到用戶帳號的資訊。 : 若是發生早就被美國政府單位告到死。還有所有上傳到Server端的資訊都經過加密, : 除非被破解。但還沒有聽說有發生破解的情況的。 : 他會知道你的檔案跟別人一樣,但是他不知道你是誰,他也不知道那個別人是誰,只 : 知道這兩個人都是用戶。 : 會不會有誤判?當然會,對於某些稀少的檔案就曾經發生過這種事,比如某一個 : 魔獸世界的更新檔,就被N牌防毒軟體判斷成病毒,因為他不符合檔案信譽評價系統。 檔案信譽評價系統, 聽起來就是蒐集用戶的無毒檔案資訊 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.116.218.88
04/28 12:01, , 1F
哇...改一行賺一千耶,// 改 /* */ 嗎?
04/28 12:01, 1F
這收費很便宜了, debug 要看懂別人的程式才能改, 原作者離職或是搞不定, 也許只有幾行要改, 但是一個case至少也要 5,6 位數吧, 開發票還要扣5%
04/28 14:00, , 2F
搞不懂你希望怎樣, sample本來就是從客戶來的...
04/28 14:00, 2F
04/28 14:01, , 3F
要幫客戶解決病毒問題, 又不能從客戶那邊收集樣本...
04/28 14:01, 3F
04/28 14:02, , 4F
難道要用念力幫你生出新的特徵幫你抓出可疑檔案?
04/28 14:02, 4F
你怎麼確定蒐集的東西是病毒? 所以當然要讓使用者選, 不能強迫參與貢獻 貢不貢獻跟能不能被雲端服務是不相關的
04/28 14:16, , 5F
我不會寫程式,但是我昨天算了一下,我寫一頁A4值多少
04/28 14:16, 5F
04/28 14:16, , 6F
6頁值320000NTD,裡面只有公司中文英文,地址中文英文
04/28 14:16, 6F
04/28 14:17, , 7F
名字中文英文還有電話.
04/28 14:17, 7F
04/28 14:26, , 8F
第一段真的很沒必要,到底是要討論還是說教?
04/28 14:26, 8F
04/28 14:28, , 9F
難不成以後討論串都要先附上履歷才能發言?
04/28 14:28, 9F
04/28 14:39, , 10F
其實原 PO "也是" 一位外商小主管...XD
04/28 14:39, 10F
04/28 15:28, , 11F
會寫組語也會DEBUG的就是會patch,也就是會寫病毒碼,寫久
04/28 15:28, 11F
04/28 15:32, , 12F
寫出虫就是寫了病毒,看多了就知道如何掃,先掃後掃標記在
04/28 15:32, 12F
04/28 15:40, , 13F
何處?暗記該脫離主體放在那裡?那就是掃地服務的本事.
04/28 15:40, 13F
04/28 15:49, , 14F
傳一部份侵權那google天天在做,用binary translationcode
04/28 15:49, 14F
04/28 15:53, , 15F
跑那vmware就是.顯然這也是端看怎麼做,別被洋人 土匪騙了
04/28 15:53, 15F
vmware 沒有上傳, 發生的地點 in pc, 要告也是告 user 進行 reverse-engineering, google 的確有被告, 所以經常撤網頁
04/28 16:09, , 16F
看到加密的key在程式裡就end, 連加密的key不能解密都不
04/28 16:09, 16F
04/28 16:09, , 17F
知道, 不知道這半瓶水到底是想要多響
04/28 16:09, 17F
加密前的原始資料就在你電腦裡, 加密的 key 也在, 加密是有什麼用, 有些人瓶子小, 一裝就滿了, 噴出來了 ※ 編輯: sniffer 來自: 122.116.218.88 (04/28 17:23)
04/28 17:31, , 18F
你是以你的想法在考慮, mis有那麼多時間選嗎?(幾千台電腦)
04/28 17:31, 18F
04/28 17:31, , 19F
end user會嗎?
04/28 17:31, 19F
04/28 17:32, , 20F
而且感覺你根本不信任防毒軟體廠商, 既然不信任...
04/28 17:32, 20F
04/28 17:32, , 21F
給你再多解釋, 有意義嗎? 還要裝在你寶貴的電腦上...
04/28 17:32, 21F
04/28 18:13, , 22F
笑到肚子破了, 懶得回你了, 這樣還敢修文回, 臉皮要夠
04/28 18:13, 22F
04/28 19:05, , 23F
加密key不能解密是因為你用RSA 若用AES 就是同一把
04/28 19:05, 23F
04/28 19:05, , 24F
這有什麼好笑的?
04/28 19:05, 24F
04/28 19:07, , 25F
加密法只有RSA?
04/28 19:07, 25F
04/28 23:06, , 26F
你希望別人解不開然後把key放在檔裡面然後用AES?
04/28 23:06, 26F
04/28 23:09, , 27F
我確實是沒有這樣想過
04/28 23:09, 27F
04/28 23:11, , 28F
好吧,我上面有語病,有辦法使加密的key無法解密
04/28 23:11, 28F
04/29 00:00, , 29F
你的key 不放程式裏, 要放哪裏?
04/29 00:00, 29F
04/30 01:00, , 30F
這世上有個東西叫PKI...
04/30 01:00, 30F
04/30 17:55, , 31F
即使以PKI的方式, 你也要把key放到安裝檔去吧?
04/30 17:55, 31F
04/30 17:57, , 32F
總之正常client有方法取得的key, 他們也會有方法取得.
04/30 17:57, 32F
05/01 16:51, , 33F
公鑰加密 私鑰解密 公鑰大家都可以取得 沒私鑰你怎麼解
05/01 16:51, 33F
05/01 17:23, , 34F
沒私鑰你也可以用公鑰加密照樣上傳啊...
05/01 17:23, 34F
05/01 17:23, , 35F
PKI就是這麼一回事吧... :P
05/01 17:23, 35F
05/01 17:26, , 36F
反正真假client都在同一個host, 都用相同方式上傳資料,
05/01 17:26, 36F
05/01 17:26, , 37F
伺服器端沒甚麼好方法分辨真假client...
05/01 17:26, 37F
05/01 18:56, , 38F
真這麼好弄的話金融業早就停止網路交易了
05/01 18:56, 38F
05/02 16:03, , 39F
金融的最大的不同, 在於transaction中有「密碼」甚至2FA
05/02 16:03, 39F
05/02 16:04, , 40F
第三者是無法獲得的. 不過AV這例子中, 如果花個數千元
05/02 16:04, 40F
05/02 16:05, , 41F
買一堆序號可以讓你的zombie network不太容易受一類知名
05/02 16:05, 41F
05/02 16:07, , 42F
的AV發現, 我想他們不會省這些錢的. (因為這是他們本身
05/02 16:07, 42F
05/02 16:07, , 43F
的價值所在)
05/02 16:07, 43F
05/02 18:10, , 44F
你覺得防毒公司的資安會做得比金融產業差嗎?
05/02 18:10, 44F
05/02 18:12, , 45F
就算有造假資料上去了 信譽評等會因小部份造假資料改變嗎
05/02 18:12, 45F
05/02 22:26, , 46F
不. 我只是說如果只上傳已安全完成掃瞄的檔案的特徵碼,
05/02 22:26, 46F
05/02 22:26, , 47F
有心人會很容易做假而影響整個結果...
05/02 22:26, 47F
05/02 22:27, , 48F
這和信譽甚麼的無關, 單純是在防毒公司的角度下的
05/02 22:27, 48F
05/02 22:28, , 49F
可操作性問題...
05/02 22:28, 49F
05/03 00:47, , 50F
所以你應該先去看產品的架構 他的特徵碼是採信譽評等
05/03 00:47, 50F
05/03 00:49, , 51F
user的weight跟third party的weight是不一樣的
05/03 00:49, 51F
05/03 07:14, , 52F
所以我才說只是用hash的話會有這問題......
05/03 07:14, 52F
更多 sniffer 的文章
文章代碼(AID): #1DkDVVJp (Soft_Job)
討論串 (同標題文章)
本文引述了以下文章的的內容:
以下文章回應了本文 (最舊先):
完整討論串 (本文為第 8 之 28 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共28篇)
更多 sniffer 的文章
文章代碼(AID): #1DkDVVJp (Soft_Job)