Re: [技術] 從AV-Comparative看統計數字可以怎麼利用
※ 引述《zvn (lizard)》之銘言:
: 這麼說吧 木馬偵測一直是個大麻煩,
: 因為我們只要隨便寫個網路程式,去網路上下載個東西回來跑(或放在特定的地方),
: 那這就很頭痛了;因為木馬做的事情跟我們差不多,木馬不是主動偷抓毒下來,
: 就是native上開個port給其他毒從這個洞鑽進來,然而以防毒軟體而言,他不能把
: 所有不認識的網路程式都ban掉
:
: 也因此,防火牆(不給不明程式開port)、還有installer有沒有digital signature
: 這類的就會變得很重要;如果大家用windows的話,一定會發現他常常問你,
: 是否要執行來路不明的程式,或是給不給哪個程式接觸網路,因為...
:
: 小心! 木馬就在你身邊!
: 所以不要亂點來路不明的程式就是這麼來的
: 為什麼有毒總是殺不掉也是這麼來的,因為你中木馬啦~~~
: 你砍了,人家又抓回來了,你打他也沒用XD
:
: 我只是舉木馬當例子順便講一下keygen為什麼這麼黑
:
: → Lordaeron:關係, 但重點是, 從出現到能由防毒來解,時差多久? 05/07 11:11
: → Lordaeron:既然有人敢嗆, 幹嘛不敢跟它賭呢兩位? 05/07 11:19
: → Lordaeron:ggg12345 及 zvn, 有信心贏就它賭下去啊 05/07 11:20
: → Lordaeron:在這嗆有什麼用? 贏了拿去損慈濟也好啊 05/07 11:20
================
那裡敢嗆? 我是來請教疑問的 ! 能解與不好解, 不能解的不就明擺著?
sniffer 夠資深 會用 debug ICE 的人早就是少之又少. 會用 debug
改 binary code 的就是會做 patch ! virus 以前就稱為沒寫好的 patch.
還是請教
================
對用戶言, 一堆想用的軟體都有 key-number 保護, 自然是免不了找個
keygen 讓窮人用一下, 所以就給她按下去, 先用 keygen 弄得出
key-number 或解了鎖再說.
至於中毒, 那裝防毒軟體是裝假的嗎? 想用的軟體當然先裝起來, 再用
防毒軟體去掃, 此時掃走了 keygen 也無所謂了, 防毒軟體會將連原來
有鎖的軟體一起掃走嗎?
然道跑了一次 keygen 得了 key-number 以後, 防毒軟體就破功了? 請
能人說個道理!
當然, keygen 裡擺木馬是因為那個被按下去的機率很高, 但防毒軟體
擋不住木馬放進來的病毒豈不是很糟? 何況沒有木馬的幫助, 買防毒
軟體的那能認識防毒軟體的重要警衛作用? 若防毒對之除不掉, 兩者
共謀的可能嫌疑就很高了. 解鎖破解不就是 patch 嗎? 此外, 很多防
毒程式是會如同 firewall 管port的. 還是木馬會騙土皇帝的管理員
(使用者)去殘害忠良的防毒軟體?
再說如何包殼, 她總要自己解開來跑, 是必然能解的.
→
05/07 13:28, , 1F
05/07 13:28, 1F
→
05/07 13:34, , 2F
05/07 13:34, 2F
→
05/07 13:35, , 3F
05/07 13:35, 3F
→
05/07 13:36, , 4F
05/07 13:36, 4F
→
05/07 13:37, , 5F
05/07 13:37, 5F
→
05/07 13:37, , 6F
05/07 13:37, 6F
→
05/07 13:38, , 7F
05/07 13:38, 7F
→
05/07 13:39, , 8F
05/07 13:39, 8F
→
05/07 13:39, , 9F
05/07 13:39, 9F
→
05/07 13:45, , 10F
05/07 13:45, 10F
→
05/07 13:45, , 11F
05/07 13:45, 11F
應該說對有鎖的軟體只做出 keygen 給出通關的 key-number 這種單純
無毒keygen 很容易被補掛上額外病毒或木馬, 若是補掛上病毒就可藉防毒
軟體之手使之不敢執行, 這就可止住此 keygen 流通漫延. 所以補掛病毒
的當然是會知道那支毒的 pattern 者機率比較高.
如果 有毒keygen 不會感染有鎖的軟體, 只是自己起來唱秋, 買防毒軟體的
就可用防毒去掉 keygen被掛上的毒, 甚至完全整個移除 有毒keygen 及其
放進來的伙伴, 阻擋引伴就是暫拔網路線, 這些只是先後快慢的防毒移除動
作問題, 仍然可以續用解開鎖的軟體.
如果 keygen被補掛的是木馬, 這 木馬keygen 就是想入侵監控者的企圖比
較高.
現在因為有防毒舉報, 所以用了 keygen 的使用者, 自然是會想舉報 keygen
去受檢察以求心安. 所以, keygen 被補掛的部份就會被做出特徵, 不論木馬
keygen 是否感染給有鎖的軟體, 此 木馬keygen 因舉報被防毒軟體辨識出
來是必然的, 其特証與變種也會被註記出來. 因此 木馬keygen 會被防毒消
除, 但被感染的已解鎖軟體因使用者想用有可能不會同意被整個移除.(但是
否整個移除就看 keygen 是如何協助開鎖而定)
那麼, 木馬keygen 被舉報到防毒軟體公司後, 這支 keygen 裡的木馬特徵不
會被找出來嗎? 她會偷開那個 port 甚至去聯絡那個對象會不知道嗎?
使用者假設已得了 keygen 的 key-number, 就去除現有跑過 keygen 的開鎖
軟體, 從新取個有鎖軟體給 key-number 不就可以通關了?
所以 木馬keygen 會企圖不給使用者 key-number 但跟開鎖後的軟體共存亡.
不過, 防毒軟體公司是一定會得到舉報那支 木馬keygen 的. 但防毒公司會
當真去找 木馬keygen 的額外作用與特徵嗎?
若做了, 被感染的有鎖軟體一定會被掃出來, 賣有鎖軟體的一定很高興, 但
使用者一定大罵無能的防毒軟體.
所以, 關鍵的地方是防毒公司在舉報後, 一定知道木馬偷開了那個城門, 要求
使用者用防毒公司提供的 關城門 軟體就行了.
如果防毒公司無法解除 木馬keygen的開後門動作, 在知道後顯然是不可能的.
附在 keygen 的木馬來源不就呼之欲出?
同樣, 能提供 "防護罩" 執行 木馬keygen 或 破解軟體 的也是會受到使用者
歡迎. 在雲端執行 keygen 取 key-number 或 協助執行有感染的已開鎖軟體
又會是如何?
→
05/07 15:40, , 12F
05/07 15:40, 12F
→
05/07 15:41, , 13F
05/07 15:41, 13F
→
05/07 15:41, , 14F
05/07 15:41, 14F
→
05/07 15:41, , 15F
05/07 15:41, 15F
防毒公司撿視 被補掛的keygen 之後絕對有能力知道這個 keygen 補掛的軟體
會幹出甚麼事, 肯不肯把被打開的城門關起來, 那是意願與動機的問題. 但防
毒軟軟體公司被認定無能解決問題也就必然, 這是涉及是否有競爭者出現的問
題. "不為" 是被視同 "不能" 也 !
→
05/07 15:42, , 16F
05/07 15:42, 16F
→
05/07 15:42, , 17F
05/07 15:42, 17F
→
05/07 15:43, , 18F
05/07 15:43, 18F
→
05/07 15:43, , 19F
05/07 15:43, 19F
→
05/07 15:44, , 20F
05/07 15:44, 20F
→
05/07 15:45, , 21F
05/07 15:45, 21F
→
05/07 15:45, , 22F
05/07 15:45, 22F
→
05/07 16:01, , 23F
05/07 16:01, 23F
→
05/07 16:01, , 24F
05/07 16:01, 24F
→
05/07 16:02, , 25F
05/07 16:02, 25F
→
05/07 16:03, , 26F
05/07 16:03, 26F
→
05/07 16:03, , 27F
05/07 16:03, 27F
keygen 只是個特例, 若說這種檔, 都很小, 談不上上傳的困難.
下載安裝 是這類事的特點, 木馬也就是開城門. 但防毒軟體跟
os 都搶著管 firewall, 若說是被打開了城門不知道, 那是很難
說得通的事. 至於設定更動, 老招也就是再生還原. registry
file 的備份從 win2k 時代就有做了, 不傷大腦的做法就是整座
硬碟還原. 防毒的能力讓使用者信心大降. 整個 malware 預防
也就從防毒公司移回至微軟手上. 至少, OS 相關檔案也可從下
載得到取用與補充.
→
05/07 18:03, , 28F
05/07 18:03, 28F
→
05/07 18:04, , 29F
05/07 18:04, 29F
→
05/07 18:04, , 30F
05/07 18:04, 30F
→
05/07 18:05, , 31F
05/07 18:05, 31F
→
05/07 18:05, , 32F
05/07 18:05, 32F
→
05/07 18:07, , 33F
05/07 18:07, 33F
→
05/07 18:08, , 34F
05/07 18:08, 34F
→
05/07 18:37, , 35F
05/07 18:37, 35F
關掉或提醒使用者關後門不是太難的事.
微軟的防毒只要正版OS, 目前還不要錢.
微軟要跳進來自己做, 總是有原因的, 病毒讓其形象大壞是原因之一.
但總覺得她就是想要管好 firewall, 好讓自己容易更新,這使得舊
driver 通通失效.
→
05/07 23:08, , 36F
05/07 23:08, 36F
→
05/07 23:08, , 37F
05/07 23:08, 37F
→
05/07 23:09, , 38F
05/07 23:09, 38F
→
05/07 23:12, , 39F
05/07 23:12, 39F
→
05/07 23:12, , 40F
05/07 23:12, 40F
→
05/07 23:13, , 41F
05/07 23:13, 41F
→
05/07 23:14, , 42F
05/07 23:14, 42F
→
05/07 23:14, , 43F
05/07 23:14, 43F
→
05/07 23:15, , 44F
05/07 23:15, 44F
→
05/07 23:15, , 45F
05/07 23:15, 45F
→
05/07 23:16, , 46F
05/07 23:16, 46F
→
05/07 23:16, , 47F
05/07 23:16, 47F
木馬就是開城門的, 若幹掉了木馬也不關木馬開的城門, 只宰木馬還不是城
牆洞開, 難怪毒一直進來, 防毒軟體是這樣做業績的嗎? 所以掃完毒再不續
繳保護費, 就整個牆都是木馬借使用者的手正常程序開出來的洞, 造成隨時
中毒? 用了防毒以後若不再續繳費就變成死得更快?
開城門 跟修補先天有洞的os程式 做 patch 是兩碼事吧?
推
05/09 02:00, , 48F
05/09 02:00, 48F
→
05/09 02:00, , 49F
05/09 02:00, 49F
推
05/09 03:15, , 50F
05/09 03:15, 50F
推
05/09 03:20, , 51F
05/09 03:20, 51F
→
05/09 09:02, , 52F
05/09 09:02, 52F
→
05/09 09:02, , 53F
05/09 09:02, 53F
→
05/09 09:02, , 54F
05/09 09:02, 54F
→
05/09 09:03, , 55F
05/09 09:03, 55F
→
05/09 09:03, , 56F
05/09 09:03, 56F
→
05/09 09:05, , 57F
05/09 09:05, 57F
亂問好像會惹禍? 意思是對你, 我們很清楚喔! 擺明是你明我暗, 看著辦?
問 來歷, 動機? 這太像 X竹區的特色囉! 令人心生害怕.
zvn 回的很好, 不知就說不知了! 非常謝謝!
不過, 疑問依舊是疑問! 不可以存疑? 不可以發問?
→
05/09 11:04, , 58F
05/09 11:04, 58F
→
05/09 11:04, , 59F
05/09 11:04, 59F
→
05/09 11:05, , 60F
05/09 11:05, 60F
謝謝版主的仗義.
→
05/09 11:19, , 61F
05/09 11:19, 61F
→
05/09 11:19, , 62F
05/09 11:19, 62F
→
05/09 11:20, , 63F
05/09 11:20, 63F
→
05/09 11:21, , 64F
05/09 11:21, 64F
→
05/09 11:21, , 65F
05/09 11:21, 65F
→
05/09 11:21, , 66F
05/09 11:21, 66F
如果只是關防火牆的洞, 技術上可不可能? 至少能警示給使用者吧!
※ 編輯: ggg12345 來自: 140.115.5.14 (05/09 12:36)
討論串 (同標題文章)
以下文章回應了本文 (最舊先):
完整討論串 (本文為第 8 之 11 篇):