Re: [技術] 從AV-Comparative看統計數字可以怎麼利用
※ 引述《ggg12345 (ggg)》之銘言:
: ※ 引述《sniffer (again)》之銘言:
: : 這樣好了, 我提供大家賺錢的途徑, 既然認為抓不到的很少, 不知道哪家
: : 掃毒公司敢花錢徵求掃不到的, 一隻1000就好, 光用產生器就可以讓他破產,
: : 或者版上有人要來對拼, 一人拿10萬出來, 我寫個毒, 為了公正,
: : 先給你檔案F的 SHA2(F+random), 一個月後才給檔案跟原來的random,
: : 一個月後隨便你拿掃毒來掃, 抓得到你得10萬, 抓不到我得10萬, 我當成賺零用錢,
: : 6位數以下我不感興趣, 看看所謂proactive是不是放屁
: ........
: : → ihon822:未知病毒偵測是靠病毒特徵和病毒行為好嗎 05/06 17:02
: =============
: 越來越熱鬧了!
: 好奇, 先問一下 sniffer 想寫的病毒
: 1. 會不會發作? 例如唱個歌, 砍掉系統某個重要檔之類的.
: 2. 會不會傳染一部份到其他檔案?
: 3. 會不會散潑一部份或抄電腦內一部份資料到其他電腦裡面?
: 4. 還是只是木馬被放進去等著被外來通知或啟用? 或者會主動連外?
最基本應該要:
1. 改寫執行檔,使其在單機上可以一直生 我覺得以病毒來說這很基本
2. 系統不能搞當 因為你還要靠這個系統去散播病毒
3. 不能重覆感染,因為感染過了一直感染是不對的
4. 被感染的執行檔,在感染後可以有點特別的現象讓我們知道他感染了
(建議是寫個無關緊要的reg key這類的,反正不要搞爛系統)
5. 只能感染執行檔,不能讓使用者的文件爛掉,不然使用者發現,他一重灌就沒啦~
以上應該是大學生的作業
6. 不能被現在的所有資安軟體抓到(實際上以防毒軟體運作的模式,我覺得這也不難
7. 這隻病毒可以透過網路或其他途徑(像是隨身碟、網路等)散播 相信這也不難
以上應該是很基本的
8. 把這隻毒送給任何一家防毒公司抽pattern,因為你要測主動式的virus偵測,
人家的偵測是靠pattern(virus的行為及特徵碼等)來做的
9. 病毒要能變種,所以是這隻virus出去感染別人後可以改變自己的樣子
以上criteria符合後,防毒軟體公司沒在兩星期寫給出pattern大家就得小心了,代表這
家公司.......很糟 對新病毒的反應不即時XDDD
然後最後 在pattern出了以後(照理說是不用一個月)
把變種的病毒拿去餵資安軟體,照理說資安軟體得偵測出全部的變形,
不然就算是失敗了
感覺是這樣子比較合理。因為你病毒不變形的話太好抓,所以變個形是應該的
我幫sniffer大補完細部的要求了,我想現在的病毒除了8以外,都可以做到其他的事
加上8只是因為要測主動式偵測 所以才來實驗看看 :P
: 如果都不會, 那就是沒作用, 那如同潛伏不活動, 絕對不好抓, 但也
: 就無大害了. 如果是等外來信號才起來活動一下, 防毒軟體鎖定
: firewall 不給通信, 是否就是防毒了?
上面這個喔,其實病毒沒發作就不是毒了,其實很多病毒最後都不是清掉,
而只是單純的讓它失去效用,OS的patch可以補上原本的漏洞,讓病毒失去效用,
但是病毒不會消失;而有些毒則是清不掉,這跟OS還有防毒軟體的架構有關
: : → zvn:我是說你的方法要公布random,不公布random的話random等於沒 05/06 17:06
: : → zvn:加,因為你可以先寫完毒再配一個碼去湊hash...誰在跟你掃不掃 05/06 17:07
: : → zvn:得到XDDD 另外是你要測pattern掃毒的話,正確做法是你先做一隻 05/06 17:07
: : → zvn:別人掃不到的毒出來,然後給防毒軟體公司去抽pattern,接著你 05/06 17:08
: : → zvn:寫出10萬隻變種毒,看看防毒是否真可以不靠feedback當場抓出來 05/06 17:08
: 這個變種需得定義清楚 ! 如果雞變成了鴨, 雖然都是有翅的禽類, 可是很少
: 人會認為鴨是雞的變種.
: 先排除騙使用者自己扛木馬進去自行啟動這類詐欺集團手法的.
: 假設 sniffer 真是會寫能入侵又能散潑的病毒, 不落入老套或同類種病毒的
: 範圍, 那就是另外穿過不同的洞, 可是能穿的洞有那麼多種嗎? 同個洞穿透
: 的手法變化有限, 這個難變的地方就會成為特徵.
你答對了,其實防毒軟體在抽pattern時,會注意某些執行檔有沒有鑽某個漏洞的可能,
所以一般病毒要躲過去,就是幫自己包好幾層packer,可能三到五層以上
(我也沒寫過packer,所以別問我= =)
而後來防毒軟體的做法就是 你packer包太多層就直接當virus,因為一般人這麼包的
機率相對小 當然有誤判的話 使用者可以從防毒軟體的 ui選ignore
: ========
: 如果是那種等使用者扛進去的木馬, 安裝執行了也遲遲不發作, 此木馬又夾在
: 使用者對外必須用的對外通信上, 連絡對象也是使用者常去的網站網頁, 此時
: 防毒軟體又怎麼抓? 至少, 絕對是會很麻煩!
: → ihon822:不會發作感染其他電腦能叫病毒嗎 頂多叫執行檔 05/06 19:40
: 所以防毒軟體不管木馬? 感染方式途徑那麼多, 幹嘛要木馬去散潑木馬?
這麼說吧 木馬偵測一直是個大麻煩,
因為我們只要隨便寫個網路程式,去網路上下載個東西回來跑(或放在特定的地方),
那這就很頭痛了;因為木馬做的事情跟我們差不多,木馬不是主動偷抓毒下來,
就是native上開個port給其他毒從這個洞鑽進來,然而以防毒軟體而言,他不能把
所有不認識的網路程式都ban掉
也因此,防火牆(不給不明程式開port)、還有installer有沒有digital signature
這類的就會變得很重要;如果大家用windows的話,一定會發現他常常問你,
是否要執行來路不明的程式,或是給不給哪個程式接觸網路,因為...
小心! 木馬就在你身邊!
所以不要亂點來路不明的程式就是這麼來的
為什麼有毒總是殺不掉也是這麼來的,因為你中木馬啦~~~
你砍了,人家又抓回來了,你打他也沒用XD
所以不得不說 木馬真的很惱人,基本上來路不明的程式就別亂點,
不然你就放著過大概半個月到一個月再點,
尤其是一些keygen或破解過的遊戲執行檔(因為使用者非點不可XD),
如果那些程式是木馬的話,
大概半個月後也差不多有使用者回報給資安公司,資安公司也出pattern
去認出那個keygen了(例如他直接認出病毒的來源,所有去那抓毒的軟體一律去死這樣),
這時再點,如果一開始真的有人回報的話(對,有人回報的話)
那你的防毒軟體就會叫你別點
當然 還是有防毒軟體一看到keygen就直接擋,所以此時真的就看使用者的膽子了
敢點keygen,就要有中木馬的心理準備..XD
所有的流程裡,可能被上傳到資安公司那分析的也就只有那個keygen,
別再來什麼個人資料會被上傳了 謝謝
--
其實應該感謝sniffer,不然這個版也不會這麼熱鬧 一.一a
另外我後面是舉木馬的case,別告訴我亂點也可能點到virus,
我只是舉木馬當例子順便講一下keygen為什麼這麼黑
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.132.132.17
→
05/06 21:23, , 1F
05/06 21:23, 1F
→
05/06 21:24, , 2F
05/06 21:24, 2F
推
05/06 21:24, , 3F
05/06 21:24, 3F
→
05/06 21:24, , 4F
05/06 21:24, 4F
→
05/06 21:25, , 5F
05/06 21:25, 5F
→
05/06 21:25, , 6F
05/06 21:25, 6F
→
05/06 21:26, , 7F
05/06 21:26, 7F
→
05/06 22:03, , 8F
05/06 22:03, 8F
推
05/06 22:13, , 9F
05/06 22:13, 9F
→
05/06 22:48, , 10F
05/06 22:48, 10F
→
05/06 22:48, , 11F
05/06 22:48, 11F
→
05/06 22:57, , 12F
05/06 22:57, 12F
→
05/06 23:04, , 13F
05/06 23:04, 13F
→
05/06 23:05, , 14F
05/06 23:05, 14F
→
05/06 23:05, , 15F
05/06 23:05, 15F
→
05/06 23:06, , 16F
05/06 23:06, 16F
→
05/06 23:06, , 17F
05/06 23:06, 17F
→
05/06 23:14, , 18F
05/06 23:14, 18F
推
05/06 23:14, , 19F
05/06 23:14, 19F
→
05/06 23:14, , 20F
05/06 23:14, 20F
→
05/06 23:15, , 21F
05/06 23:15, 21F
→
05/06 23:15, , 22F
05/06 23:15, 22F
→
05/06 23:15, , 23F
05/06 23:15, 23F
→
05/06 23:16, , 24F
05/06 23:16, 24F
→
05/07 01:27, , 25F
05/07 01:27, 25F
→
05/07 01:32, , 26F
05/07 01:32, 26F
→
05/07 01:32, , 27F
05/07 01:32, 27F
→
05/07 01:46, , 28F
05/07 01:46, 28F
→
05/07 01:46, , 29F
05/07 01:46, 29F
推
05/07 10:37, , 30F
05/07 10:37, 30F
→
05/07 11:10, , 31F
05/07 11:10, 31F
→
05/07 11:11, , 32F
05/07 11:11, 32F
→
05/07 11:19, , 33F
05/07 11:19, 33F
→
05/07 11:20, , 34F
05/07 11:20, 34F
→
05/07 11:20, , 35F
05/07 11:20, 35F
→
05/07 12:29, , 36F
05/07 12:29, 36F
→
05/07 12:40, , 37F
05/07 12:40, 37F
→
05/07 12:41, , 38F
05/07 12:41, 38F
→
05/07 12:41, , 39F
05/07 12:41, 39F
→
05/07 14:04, , 40F
05/07 14:04, 40F
→
05/07 14:04, , 41F
05/07 14:04, 41F
推
05/07 14:45, , 42F
05/07 14:45, 42F
→
05/07 15:47, , 43F
05/07 15:47, 43F
→
05/07 21:55, , 44F
05/07 21:55, 44F
→
05/07 22:03, , 45F
05/07 22:03, 45F
→
05/07 23:05, , 46F
05/07 23:05, 46F
→
05/07 23:06, , 47F
05/07 23:06, 47F
→
05/07 23:06, , 48F
05/07 23:06, 48F
→
05/07 23:06, , 49F
05/07 23:06, 49F
→
05/07 23:07, , 50F
05/07 23:07, 50F
→
05/07 23:35, , 51F
05/07 23:35, 51F
→
05/07 23:35, , 52F
05/07 23:35, 52F
→
05/07 23:36, , 53F
05/07 23:36, 53F
推
05/08 00:43, , 54F
05/08 00:43, 54F
→
05/08 00:44, , 55F
05/08 00:44, 55F
→
05/08 00:44, , 56F
05/08 00:44, 56F
→
05/08 00:45, , 57F
05/08 00:45, 57F
→
05/08 00:46, , 58F
05/08 00:46, 58F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 7 之 11 篇):