Re: [技術] 從AV-Comparative看統計數字可以怎麼利用

看板Soft_Job作者zvn (lizard)時間13年前 (2011/05/06 21:01)推噓6(6推 0噓 52→)

留言58則, 9人參與討論串7/11 (看更多)

※ 引述《ggg12345 (ggg)》之銘言： : ※ 引述《sniffer (again)》之銘言： : : 這樣好了, 我提供大家賺錢的途徑, 既然認為抓不到的很少, 不知道哪家 : : 掃毒公司敢花錢徵求掃不到的, 一隻1000就好, 光用產生器就可以讓他破產, : : 或者版上有人要來對拼, 一人拿10萬出來, 我寫個毒, 為了公正, : : 先給你檔案F的 SHA2(F+random), 一個月後才給檔案跟原來的random, : : 一個月後隨便你拿掃毒來掃, 抓得到你得10萬, 抓不到我得10萬, 我當成賺零用錢, : : 6位數以下我不感興趣, 看看所謂proactive是不是放屁 : ........ : : → ihon822:未知病毒偵測是靠病毒特徵和病毒行為好嗎 05/06 17:02 : ============= : 越來越熱鬧了! : 好奇, 先問一下 sniffer 想寫的病毒 : 1. 會不會發作? 例如唱個歌, 砍掉系統某個重要檔之類的. : 2. 會不會傳染一部份到其他檔案? : 3. 會不會散潑一部份或抄電腦內一部份資料到其他電腦裡面? : 4. 還是只是木馬被放進去等著被外來通知或啟用? 或者會主動連外? 最基本應該要： 1. 改寫執行檔，使其在單機上可以一直生我覺得以病毒來說這很基本 2. 系統不能搞當因為你還要靠這個系統去散播病毒 3. 不能重覆感染，因為感染過了一直感染是不對的 4. 被感染的執行檔，在感染後可以有點特別的現象讓我們知道他感染了 (建議是寫個無關緊要的reg key這類的，反正不要搞爛系統) 5. 只能感染執行檔，不能讓使用者的文件爛掉，不然使用者發現，他一重灌就沒啦~ 以上應該是大學生的作業 6. 不能被現在的所有資安軟體抓到(實際上以防毒軟體運作的模式，我覺得這也不難 7. 這隻病毒可以透過網路或其他途徑(像是隨身碟、網路等)散播相信這也不難以上應該是很基本的 8. 把這隻毒送給任何一家防毒公司抽pattern，因為你要測主動式的virus偵測，人家的偵測是靠pattern(virus的行為及特徵碼等)來做的 9. 病毒要能變種，所以是這隻virus出去感染別人後可以改變自己的樣子以上criteria符合後，防毒軟體公司沒在兩星期寫給出pattern大家就得小心了，代表這家公司.......很糟對新病毒的反應不即時XDDD 然後最後在pattern出了以後(照理說是不用一個月) 把變種的病毒拿去餵資安軟體，照理說資安軟體得偵測出全部的變形，不然就算是失敗了感覺是這樣子比較合理。因為你病毒不變形的話太好抓，所以變個形是應該的我幫sniffer大補完細部的要求了，我想現在的病毒除了8以外，都可以做到其他的事加上8只是因為要測主動式偵測所以才來實驗看看 :P : 如果都不會, 那就是沒作用, 那如同潛伏不活動, 絕對不好抓, 但也 : 就無大害了. 如果是等外來信號才起來活動一下, 防毒軟體鎖定 : firewall 不給通信, 是否就是防毒了? 上面這個喔，其實病毒沒發作就不是毒了，其實很多病毒最後都不是清掉，而只是單純的讓它失去效用，OS的patch可以補上原本的漏洞，讓病毒失去效用，但是病毒不會消失；而有些毒則是清不掉，這跟OS還有防毒軟體的架構有關 : : → zvn:我是說你的方法要公布random，不公布random的話random等於沒 05/06 17:06 : : → zvn:加，因為你可以先寫完毒再配一個碼去湊hash...誰在跟你掃不掃 05/06 17:07 : : → zvn:得到XDDD 另外是你要測pattern掃毒的話，正確做法是你先做一隻 05/06 17:07 : : → zvn:別人掃不到的毒出來，然後給防毒軟體公司去抽pattern，接著你 05/06 17:08 : : → zvn:寫出10萬隻變種毒，看看防毒是否真可以不靠feedback當場抓出來 05/06 17:08 : 這個變種需得定義清楚 ! 如果雞變成了鴨, 雖然都是有翅的禽類, 可是很少 : 人會認為鴨是雞的變種. : 先排除騙使用者自己扛木馬進去自行啟動這類詐欺集團手法的. : 假設 sniffer 真是會寫能入侵又能散潑的病毒, 不落入老套或同類種病毒的 : 範圍, 那就是另外穿過不同的洞, 可是能穿的洞有那麼多種嗎? 同個洞穿透 : 的手法變化有限, 這個難變的地方就會成為特徵. 你答對了，其實防毒軟體在抽pattern時，會注意某些執行檔有沒有鑽某個漏洞的可能，所以一般病毒要躲過去，就是幫自己包好幾層packer，可能三到五層以上 (我也沒寫過packer，所以別問我= =) 而後來防毒軟體的做法就是你packer包太多層就直接當virus，因為一般人這麼包的機率相對小當然有誤判的話使用者可以從防毒軟體的 ui選ignore : ======== : 如果是那種等使用者扛進去的木馬, 安裝執行了也遲遲不發作, 此木馬又夾在 : 使用者對外必須用的對外通信上, 連絡對象也是使用者常去的網站網頁, 此時 : 防毒軟體又怎麼抓? 至少, 絕對是會很麻煩! : → ihon822:不會發作感染其他電腦能叫病毒嗎頂多叫執行檔 05/06 19:40 : 所以防毒軟體不管木馬? 感染方式途徑那麼多, 幹嘛要木馬去散潑木馬? 這麼說吧木馬偵測一直是個大麻煩，因為我們只要隨便寫個網路程式，去網路上下載個東西回來跑(或放在特定的地方)，那這就很頭痛了；因為木馬做的事情跟我們差不多，木馬不是主動偷抓毒下來，就是native上開個port給其他毒從這個洞鑽進來，然而以防毒軟體而言，他不能把所有不認識的網路程式都ban掉也因此，防火牆(不給不明程式開port)、還有installer有沒有digital signature 這類的就會變得很重要；如果大家用windows的話，一定會發現他常常問你，是否要執行來路不明的程式，或是給不給哪個程式接觸網路，因為... 小心！木馬就在你身邊！所以不要亂點來路不明的程式就是這麼來的為什麼有毒總是殺不掉也是這麼來的，因為你中木馬啦~~~ 你砍了，人家又抓回來了，你打他也沒用XD 所以不得不說木馬真的很惱人，基本上來路不明的程式就別亂點，不然你就放著過大概半個月到一個月再點，尤其是一些keygen或破解過的遊戲執行檔(因為使用者非點不可XD)，如果那些程式是木馬的話，大概半個月後也差不多有使用者回報給資安公司，資安公司也出pattern 去認出那個keygen了(例如他直接認出病毒的來源，所有去那抓毒的軟體一律去死這樣)，這時再點，如果一開始真的有人回報的話(對，有人回報的話) 那你的防毒軟體就會叫你別點當然還是有防毒軟體一看到keygen就直接擋，所以此時真的就看使用者的膽子了敢點keygen，就要有中木馬的心理準備..XD 所有的流程裡，可能被上傳到資安公司那分析的也就只有那個keygen，別再來什麼個人資料會被上傳了謝謝 -- 其實應該感謝sniffer，不然這個版也不會這麼熱鬧一.一a 另外我後面是舉木馬的case，別告訴我亂點也可能點到virus，我只是舉木馬當例子順便講一下keygen為什麼這麼黑 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.132.17

→