Re: [技術] 雲端掃毒=用你的資源幫廠商

看板Soft_Job作者 (again)時間14年前 (2011/05/04 12:43), 編輯推噓12(12090)
留言102則, 7人參與, 最新討論串24/28 (看更多)
※ 引述《iincho (世界的盡頭)》之銘言: : : 引述《sniffer (again)》之銘言: : : 掃毒如果會分析程式流程, 就算是 reverse-engineering, : : 但是因為行為人是客戶, 而且客戶本人也沒有"看", 所以通常不會被告 : 所以寫毒的會出來告你reverse-engineering他的code? 確定是毒前無權分析, 所以不是毒但是被分析的人可以告 : 不要腦補成這樣好嗎... : 事實上就是沒人會出來告你,其他法律上的爭議都是打空氣下課謝謝。 : : 一個毒也只會在很少部份user有, 所以其他用戶與此檔無關, 雲端怎麼判斷得了 : 喔,是這樣嗎XD? 難道掃毒程式都只看MD5對檔案? 對, 所以你也同意, 不能只看 digest, 不然會被騙, 資料越簡單越好騙, 上傳詳細資料又會有版權隱私問題 : 這邊有很多分析技巧,其實大部分的毒用的就是那些101招, 你所謂的大部分毒, 應該只是產生器的成果, 根本只算一種, 只要能自己寫毒的人, 都有無數的選擇 : backend如果有做自動動態分析的機器,不難。 : 雖然我覺得雲端掃毒噱頭大一些,不過倒也沒你說的這麼不堪... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.116.218.88
05/04 13:45, , 1F
重點是雲端只是輔助本機掃毒,不是全部的detect都在雲端完成,
05/04 13:45, 1F
05/04 13:45, , 2F
每家廠商的做法都是這個樣子,所以其實大家都不用上傳全部的
05/04 13:45, 2F
05/04 13:45, , 3F
東西。不然你光傳檔案就傳不完了 這樣子你了解了嗎?
05/04 13:45, 3F
05/04 13:46, , 4F
如果你有乖乖去反解他們的通訊或直接去監看封包就知道了
05/04 13:46, 4F
05/04 13:46, , 5F
反正你號稱要破 我想你應該也已經破解封包了吧..XDDDDD
05/04 13:46, 5F
05/04 14:15, , 6F
zvn你說的前面很多人跟他說過了,只是用來輔助判斷可疑度
05/04 14:15, 6F
05/04 14:39, , 7F
@zvn、askeing:你們針往前跳了..雖然不用上傳全部的東西,
05/04 14:39, 7F
05/04 14:40, , 8F
但是只要是"新作品",對方論點是"判別是否為毒成功率接近0"
05/04 14:40, 8F
05/04 14:42, , 9F
所以此類都要上傳並判讀。現在問題是是不是真如sniffer說
05/04 14:42, 9F
05/04 14:42, , 10F
只有違反著作權一途方可知是否為毒?
05/04 14:42, 10F
05/04 14:45, , 11F
或,是否新寫病毒真的無法防禦?有過此種評測?
05/04 14:45, 11F
05/04 14:57, , 12F
全新的一種特徵上來,沒有資料,就回報可疑,client掃
05/04 14:57, 12F
05/04 14:58, , 13F
如果client引擎判定有毒就處理,願意feedback樣本,就收
05/04 14:58, 13F
05/04 15:00, , 14F
類似這樣的方式就可以了,重點在「雲端是輔助」
05/04 15:00, 14F
05/04 15:00, , 15F
講的都是一樣的東西,沒有啥往前還往後跳
05/04 15:00, 15F
05/04 15:14, , 16F
所以流程整理一下,99%的人不會寫病毒,feedback勾選yes,
05/04 15:14, 16F
05/04 15:16, , 17F
收到1%會寫的人寫出的新特徵(不一定是病毒),此時分成多種
05/04 15:16, 17F
05/04 15:17, , 18F
可能性。該新特徵程式被feedback。另或,該新特徵程式為病
05/04 15:17, 18F
05/04 15:18, , 19F
毒並破壞client連feedback都不會發生(您對方論點)。
05/04 15:18, 19F
05/04 15:21, , 20F
另或該新特徵程式被feedback但非病毒而原作者不願。
05/04 15:21, 20F
05/04 15:22, , 21F
..恩,其他請見本討論串。
05/04 15:22, 21F
05/04 15:22, , 22F
我本身真的不懂,只是整理你們。我想我結論是防毒非用不可
05/04 15:22, 22F
05/04 15:24, , 23F
,但資安必須如sniffer一開始所言,另求完整保障。
05/04 15:24, 23F
05/04 15:24, , 24F
並不是新特徵就feedback,而是雲端告訴你可疑,本機下去掃
05/04 15:24, 24F
05/04 15:27, , 25F
沒毒當然就沒事
05/04 15:27, 25F
05/04 15:27, , 26F
有毒且掃到有毒,處理,同意feedback就收樣本回去分析
05/04 15:27, 26F
05/04 15:27, , 27F
如果有毒而本機引擎抓不到,那就是所謂的掃不到毒啦~
05/04 15:27, 27F
05/04 15:28, , 28F
總之feedback機制,跟透過雲端去輔助判定可疑,是兩碼子事
05/04 15:28, 28F
新特徵就是沒看過, 沒看過你麼知道有沒有毒, 如果掃得到, 代表雲端已經有了, 還上傳分析個什麼? 自相矛盾
05/04 15:31, , 29F
這道理就像是 你請了保全來顧銀行,不代表銀行就“完全”不會
05/04 15:31, 29F
05/04 15:31, , 30F
被搶;後面對方是在爭就算有保全,銀行還是會被搶....
05/04 15:31, 30F
銀行被搶, 保全公司合約是會賠的(通常保險跟保全綁一起), 而且保全不會跟客戶唬爛說可以預測搶案, 或是提出杜絕xx%搶案的數據
05/04 15:32, , 31F
所以我覺得值得說明的只有前面的部份,後面只是練習打臉而已
05/04 15:32, 31F
05/04 15:33, , 32F
另外,新寫的病毒照理說會先拿全部的防毒軟體測過,病毒也是有
05/04 15:33, 32F
05/04 15:33, , 33F
QA的 XD 我相信他們會等pass全部的測試再release出來 但並不是
05/04 15:33, 33F
05/04 15:33, , 34F
因為這樣子,防毒軟體就完全沒用,因為防毒方過一陣子一發現這
05/04 15:33, 34F
05/04 15:34, , 35F
病毒,就會再標上新的特徵上去。所以這病毒又會再被抓出來
05/04 15:34, 35F
05/04 15:35, , 36F
就像是壞人用了新的詐騙手法成功騙到錢,警察在民眾檢舉後,
05/04 15:35, 36F
05/04 15:35, , 37F
透過正式管道告訴民眾不要受騙上當一樣。但並不是警察沒辦法幫
05/04 15:35, 37F
還有 28 則推文
還有 4 段內文
05/04 20:48, , 66F
所以防毒公司本身沒有問題, 責任在使用者身上...
05/04 20:48, 66F
05/04 20:50, , 67F
不過如某國的人因BT被告後, 辯解自己對BT clinent上傳
05/04 20:50, 67F
05/04 20:51, , 68F
檔案並不知情, 而被法官接納, 這情況下也可以用相同
05/04 20:51, 68F
05/04 20:51, , 69F
理由嗎? :O
05/04 20:51, 69F
05/04 23:55, , 70F
BT 不會有法官相信你不知情的, 已經開例了.
05/04 23:55, 70F
05/05 04:41, , 71F
你累了嗎? 看看網頁吧~! http://goo.gl/14HWF
05/05 04:41, 71F
05/05 04:42, , 72F
看看人家到底要不要逆向工程.. xDa
05/05 04:42, 72F
05/05 04:44, , 73F
抱歉paper看太晚現在才打 ((啪!
05/05 04:44, 73F
05/05 08:40, , 74F
引續一下sniffer語錄給樓上回應,"你不是吃這一行飯的料"?
05/05 08:40, 74F
05/05 09:33, , 75F
a大你太慢了XD 搞不好人家根本看不到 XDDD
05/05 09:33, 75F
05/05 12:32, , 76F
哭哭 O_Q! 人家沒有用xx寬頻咩 T__T
05/05 12:32, 76F
你是說這一篇吧, 給人 google 連結, 我就當是第一個結果: http://www.cs.ucsb.edu/~seclab/projects/polyworms/index.html 只能說連論文都不仔細看, 現在的學生水準真糟糕, finger printing, 你有看下去嗎, 是用 control flow 喔, contro flow 就是 trace, 也就屬於 reverse engineering, 還是你覺得 trace 不算 reverse engineering? 再掰呀 ※ 編輯: sniffer 來自: 122.116.218.88 (05/05 13:12)
05/05 13:23, , 77F
是你說第一篇 不是我說的, 你都說防毒軟體不準了還只看
05/05 13:23, 77F
05/05 13:25, , 78F
Google的排序.. PADS呢? SRE呢? Polygraph呢?
05/05 13:25, 78F
05/05 13:25, , 79F
給魚吃不如教如何釣魚..! 也不看看關鍵字下什麼..
05/05 13:25, 79F
05/05 13:27, , 80F
另外, 很抱歉這不是我的研究領域.. 門外漢而已 lol~!
05/05 13:27, 80F
果然你會這麼說, 不敢明確指出哪一篇, 因為你看不懂, 想寄託於網路, 看有沒有誰可以不用分析流程來辨識程式, 做夢去吧 ※ 編輯: sniffer 來自: 122.116.218.88 (05/05 17:03)
05/05 21:17, , 81F
重點是逆向工程的命題不存在了 所以不用再爭了 乖
05/05 21:17, 81F
05/05 22:25, , 82F
PADS SRE Polygraph 都是論文阿.. 自己不會找怪我唷..?
05/05 22:25, 82F
05/05 22:25, , 83F
想被打臉就直說嘛..
05/05 22:25, 83F
05/05 22:35, , 84F
05/05 22:35, 84F
05/05 22:35, , 85F
05/05 22:35, 85F
05/05 22:41, , 86F
05/05 22:41, 86F
05/05 22:41, , 87F
別跟我說要找PDF給你看會看.. 不知道是誰在作夢 =__=a
05/05 22:41, 87F
05/05 23:49, , 88F
他大概是看了第一個link,發現好像有機會吐嘈,就忘了後面
05/05 23:49, 88F
05/05 23:50, , 89F
千千百百個link排隊等著打他臉了吧...
05/05 23:50, 89F
05/05 23:50, , 90F
你也會搞人? Google:略懂
05/05 23:50, 90F
又不敢指明哪一篇, 哪一篇你看懂了? 哪一篇不用流程? 舉出來呀? 後面千千百百一樣需要分析流程, 只要有程式流程就是reverse engineer, 程式就是流程, 任何packer都不能改變原程式流程, 只有流程不會變形, 想找不用流程辨認程式, 就像不看照片卻想過濾恐龍妹一樣 ※ 編輯: sniffer 來自: 123.204.215.193 (05/06 01:52)
05/06 10:49, , 91F
所以你承認你不敢看那麼多篇需要我幫忙了?要的話說一聲 :)
05/06 10:49, 91F
05/06 11:24, , 92F
樓上的推文會不會太low?每看一次就對防毒品牌形象low一次
05/06 11:24, 92F
05/06 11:50, , 93F
我個人的推文跟任何品牌沒任何關係 不需要做任何聯想
05/06 11:50, 93F
05/06 11:55, , 94F
光asimon的第一個聯結就說明了,pattern可以由系統自己生出來
05/06 11:55, 94F
05/06 11:56, , 95F
不需要人去看;換句話說重點在於人不用看流程,這就像是gmail
05/06 11:56, 95F
05/06 11:56, , 96F
拿你的mail content做廣告,但因為他號稱是機器去看所以沒有
05/06 11:56, 96F
05/06 11:57, , 97F
法律上的疑律是一樣
05/06 11:57, 97F
05/06 13:27, , 98F
另外,怕被拿去分析生pattern就不要同意feedback就沒事了,
05/06 13:27, 98F
05/06 13:27, , 99F
根本沒有後來這裡的問題
05/06 13:27, 99F
05/06 18:41, , 100F
這邊提到的paper講的都是分析封包流.. 原來sniffer也是
05/06 18:41, 100F
05/06 18:41, , 101F
reverse engineer.. 哈~!
05/06 18:41, 101F
05/06 18:42, , 102F
論文標題都找給你了你還要怎樣..? 自己沒看怪我唷?
05/06 18:42, 102F
更多 sniffer 的文章
文章代碼(AID): #1DmDbpCM (Soft_Job)
討論串 (同標題文章)
本文引述了以下文章的的內容:
以下文章回應了本文
完整討論串 (本文為第 24 之 28 篇):
排序: 最新先 | 最舊先 | 留言數
在新視窗開啟完整討論串 (共28篇)
更多 sniffer 的文章
文章代碼(AID): #1DmDbpCM (Soft_Job)