Re: [技術] 從AV-Comparative看統計數字可以怎麼利用
: → zvn:洞分兩種,OS漏洞由OS patch補;由木馬開出來的洞得在本機端 05/09 11:19
: → zvn:有人接應才行,重點是把本機上接應的那隻木馬移掉 05/09 11:19
: → zvn:暫時沒想到其他情況;damage recovery好像不是防毒軟體該做的 05/09 11:20
: → zvn:因為就架構上,防毒軟體不可能做到完全的復原,主要是病毒可以 05/09 11:21
: → zvn:打到很底層去 05/09 11:21
: → zvn:要防毒軟體真能這麼強 都比OS還厲害了XD 05/09 11:21
:
: 如果只是關防火牆的洞, 技術上可不可能? 至少能警示給使用者吧!
:
警示該關那個防火牆應該不是太難的事.
假設現在 client 端從網路下載安裝程式都經過雲端, 再假設雲端開
放一種服務, 就是讓那箇下載程式先在雲端的虛擬機先跑, 反正有壞
事的病毒都先拿雲端虛擬機去嚐試, 這個防毒消毒的雲端虛擬機就把
最後消毒過的下載程式提煉出來, 最終將無毒程式轉給使用者去跑.
這種消毒雲端是不是會大受歡迎?
這就不用煩惱 demage recovery 的問題, 防毒消毒專家就專業的在
雲端替大家做保駕護航的工作不是很好嗎?
推
05/10 01:38, , 1F
05/10 01:38, 1F
→
05/10 01:39, , 2F
05/10 01:39, 2F
→
05/10 01:40, , 3F
05/10 01:40, 3F
→
05/10 01:40, , 4F
05/10 01:40, 4F
→
05/10 01:41, , 5F
05/10 01:41, 5F
→
05/10 10:28, , 6F
05/10 10:28, 6F
→
05/10 10:29, , 7F
05/10 10:29, 7F
→
05/10 10:29, , 8F
05/10 10:29, 8F
→
05/10 10:29, , 9F
05/10 10:29, 9F
→
05/10 10:30, , 10F
05/10 10:30, 10F
→
05/10 11:22, , 11F
05/10 11:22, 11F
推
05/10 12:11, , 12F
05/10 12:11, 12F
→
05/10 12:12, , 13F
05/10 12:12, 13F
推
05/10 13:21, , 14F
05/10 13:21, 14F
→
05/10 13:21, , 15F
05/10 13:21, 15F
→
05/10 21:31, , 16F
05/10 21:31, 16F
→
05/10 21:31, , 17F
05/10 21:31, 17F
不是有個防毒公司老板很鼓吹 雲端就像供應清潔水源 的自來水公司嗎?
自來水公司不就是對水做 "消毒" 的.
防毒牆(anti-virus gateway)就是在網路端偵毒的, 用的是 NIDS 技術
通常就是查看封包比對病毒特徵, 但這只是偵毒與濾毒, 擋有毒的封包.
Sandboxie 沙盤 就是提供模擬環境試著執行程式, 若程式有惡意行為
沙盤可以偵知, 若防護不週也只是破壞沙盤環境, 無法破壞實體. 這是
一種偵毒技術. 但沙盤可以推倒重來, 所以不怕中毒附身, 天生就是有
demage recovery 能力.
若用虛擬機技術, VM Mornitor 除提供整套虛擬硬體系統環境外, 虛擬
機也可透過 policy rule 對有危害性的指令判決為不執行, 這就是偵
毒外還消毒, 若這些該消毒處都被標記也做了指令轉換, 有毒軟體就變
成了起不了作用的正常軟體.
這種消毒作用可以在雲端的虛擬機上進行, 這就相當於自來水公司的淨
水功用.
雲端自來水公司, 賣的就是雲端消毒. 買自來水服務的不會是先打水再
送水到自來水公司消毒再取水回來. 都嘛是從水源就送到自來水公司,
再用專門管線到客戶. 這種網路技術就是早就有的 CDN.
推
05/11 00:59, , 18F
05/11 00:59, 18F
阻擋過濾病毒於關口的就是 Firewall(擋與濾)+NIDS(偵), 但只能對已
知病毒的特徵做比對, 相當於辨認出一個軟體跟某已知軟體的相似度.
對未知的病毒偵檢, 其一就是誘補系統, 這是基於病毒必會找弱處移植
傳染複製的特性, 這種方法可偵測出新病毒或背後是人的入侵.
在使用者分不清是否有新病毒附身在軟體的清況下, 使用者又想執行這
個軟體, 這行為相當於對軟體的黑箱測試. 為了防止意想不到的損害,
藉助與掌控在沙盤下測驗, 就是一種結合人的判斷力, 偵測是否有新病
毒的方法. 如同軍事上的沙盤推演, 總是要有裁判官進行裁決. 這種沙
盤推演的模擬環境未必全面與判斷正確, 但在有經驗的人協助下, 也能
達到某種程度的推斷, 所以未知病毒會被推斷出來.
沙盤是一種虛擬模擬, 若是用全虛擬化的系統模擬機來配合演出, 虛擬
機監督器可以針對某些指令動作在某發生處與某事件之後, 配合策略政
策的設定可以不預以執行或另外執行新的解譯方式. 此時, 一種對病毒
能免疫或對毒能消毒的新機器就誕生了. 這個方法沒有解決 halting
problem 的全面性, 但卻能針對 裁判官的裁決 做處理.
透過誘補器, 沙盤與專家的裁決輔導, 再透過虛擬監督器的依策略與狀
況處理, 若監督器對 "敏感處" 加註排除執行的註記, 認得此註記的同
類監督器就能發揮免疫與消毒作用.
當然, 虛擬機可以做 check point 也就是可以推倒現在再從過去某處
重來, 這也是老式除虫(debug)的老招式.
→
05/11 16:54, , 19F
05/11 16:54, 19F
→
05/11 16:58, , 20F
05/11 16:58, 20F
→
05/11 18:04, , 21F
05/11 18:04, 21F
→
05/11 18:06, , 22F
05/11 18:06, 22F
→
05/11 18:07, , 23F
05/11 18:07, 23F
→
05/11 18:08, , 24F
05/11 18:08, 24F
那就請您侃侃您知道的防毒牆如何?
在網路或在 遠端server 做, 現在的技術都是在雲端. 在沙盤跑就是先測.
防毒又是如何找到 signature pattern? 原始的方法就是用沙盤去跑去追蹤何處
企圖要打洞! 沙盤做久用久也能半自動化. 生手只是會用 check point 去 fix
bug. 也就是定 bug 的位置. 要定出 敏感處 那也是可以半自動化的.
→
05/11 18:56, , 25F
05/11 18:56, 25F
→
05/11 18:57, , 26F
05/11 18:57, 26F
→
05/11 18:58, , 27F
05/11 18:58, 27F
推
05/11 19:01, , 28F
05/11 19:01, 28F
→
05/11 19:02, , 29F
05/11 19:02, 29F
→
05/11 19:04, , 30F
05/11 19:04, 30F
推
05/11 19:06, , 31F
05/11 19:06, 31F
→
05/11 19:06, , 32F
05/11 19:06, 32F
推
05/11 20:05, , 33F
05/11 20:05, 33F
→
05/11 20:06, , 34F
05/11 20:06, 34F
→
05/11 20:07, , 35F
05/11 20:07, 35F
→
05/11 20:07, , 36F
05/11 20:07, 36F
寫程式的多少會用 debug, 但目的是除錯, 除錯就得改正, 那比 fix bug 難多了.
在有 kernel priviledge mode 的 cpu 上跑使用者程式, 所有特權動作就得經過
OS system call, 這類應用程式只要掃用到的 system call 就知道想幹啥敏感動
作, 這類的不需要沙盤實際演習, 就知道也能掃出來, 除非她用 dirty code.
現在的惡意程式是掛碼在經常會用到又會有某種特權能力的程式上, 極端的例就
是 driver, 簡單的就是掛在 IE browser 或 是會讓 shell 誤動作的 string
exception operation. 這些才需要沙盤或系統虛擬機於演練中定位. 這些本來就
是那些造 pattern 的工程師在幹的事!
要能 "消毒" 就是要能定位的完整與精準, 定位的清單就是另一種 pattern 標記
, 對標記是否該如何反應處理, 那是負責該如何執行的 使用者端虛擬機 的事.
所以雲端與專業工程師合作, 能協助 "消毒/防毒"!
推
05/11 21:00, , 37F
05/11 21:00, 37F
→
05/11 21:00, , 38F
05/11 21:00, 38F
→
05/11 21:01, , 39F
05/11 21:01, 39F
→
05/11 21:02, , 40F
05/11 21:02, 40F
→
05/11 21:03, , 41F
05/11 21:03, 41F
→
05/11 21:04, , 42F
05/11 21:04, 42F
現在的虛擬機都能對付 dirty code, 但這就接近是實質演練.
不演練只靠掃過比對, 就是不容易精確定位與 "消毒".
若不是 dirty code 只要比對就能定位, 也就能註記精確, 也就能讓惡意動作無作用.
推
05/11 21:40, , 43F
05/11 21:40, 43F
→
05/11 21:40, , 44F
05/11 21:40, 44F
→
05/11 21:42, , 45F
05/11 21:42, 45F
→
05/11 21:42, , 46F
05/11 21:42, 46F
→
05/11 21:43, , 47F
05/11 21:43, 47F
推
05/11 21:49, , 48F
05/11 21:49, 48F
→
05/11 21:50, , 49F
05/11 21:50, 49F
→
05/11 21:50, , 50F
05/11 21:50, 50F
→
05/11 21:50, , 51F
05/11 21:50, 51F
顯然, 您對破解 序號(key-number)比較有興趣. 通常這種事有硬體的輔助道具
會比較好辦. 如果是不用到網路配合的序號驗證, 不管如何加殼或自我修改,
這種序號驗證機制一定能被用硬體輔助的沙盤或全軟體解譯的虛擬機定位找到.
至於是否不給序號只做單一 by-pass 動作就能全解套, 可能太小看造鎖者的布
置. 所以, 依樣畫瓢產生能過關的序號是簡便的多.
防毒公司若不是依靠買別人的 pattern者都是有本事與道具, 能追蹤到惡意的動
作處, 當然就是也能找到序號鎖的位置.
理論上, 虛擬機能消毒, 也就是能跳開序號鎖, 但製鎖的可以做連動鎖, 前鎖不
開, 後鎖就不現出正確入口, 只有 by-pass 一招是不足夠的.
惡意程式是要被執行才有作用, 若不被執行卻有壞的惡果, 那也很難不被整個排
除. 序號鎖的作用也就是提供保護不會被執行, 這事的本質跟 惡意程式是企圖
被執行 在特性上是不同的.
推
05/12 01:49, , 52F
05/12 01:49, 52F
全虛擬化的全軟體虛擬機不必做 "反組譯" 動作. 老式的是 解譯器, 近代的是
binary code translation. 所以, 現在的 Apple MAC 能執行 X86 程式. 反之
X86 也能執行 MIPS 程式.
推
05/12 02:27, , 53F
05/12 02:27, 53F
→
05/12 02:30, , 54F
05/12 02:30, 54F
→
05/12 02:32, , 55F
05/12 02:32, 55F
→
05/12 02:35, , 56F
05/12 02:35, 56F
→
05/12 06:43, , 57F
05/12 06:43, 57F
→
05/12 07:26, , 58F
05/12 07:26, 58F
除錯除了 fix bug 外還得 替換補上正確的一段, 萬用又全自動的 code modifier
或許可能勝任, 但不可能只靠程式就猜出是要改成啥新的一段內容, 這是其極
限的原因.
惡意程式通常是 越權 或 拿羽毛當令箭夾天子令 譴越 地做一些事, 只要被
定位出來不預以執行, 就不會有越權的動作.
demange recovery 一個簡單的需求就是能乾淨的清除惡意程式, 也就是能乾
淨的做反安裝的事. 沙盤與虛擬機能記載這些安裝過程做過了那些事, 沙盤因
有錄製原資訊就能針對安裝執行反安裝, 這乾淨清除所必需.
沙盤與虛擬機能協助定位出越權的動作位置, 加以標記後, 可以協助 client
端執行的虛擬機藉助標記不配合動作, 也就是消毒(不能越權)地執行.
對特定位置的指令段 "不能"執行 或 "刻意無效"地執行 還是落在虛擬機的檢
視後再決定如何進行的能力範圍內.
→
05/12 16:04, , 59F
05/12 16:04, 59F
→
05/12 16:05, , 60F
05/12 16:05, 60F
→
05/12 16:06, , 61F
05/12 16:06, 61F
→
05/12 16:27, , 62F
05/12 16:27, 62F
那就聽您侃侃 沙盤 的問題所在?
沙盤起初的概念是 牢籠, 只企圖識別病毒類型做特徵標記 比起需做 特定敏感
動作位置 的定位來得簡單. 有虛擬機能力的沙盤是超越 偵防演習 進到除錯的
定位能力.
→
05/12 18:28, , 63F
05/12 18:28, 63F
您說的防毒牆就是 阻擋過濾 惡意封包, 重點還是針對已知病毒比對特徵. 誘
補器跟沙盤在應用上有所不同, 這兩者都可依賴虛擬機來支援, 誘補器是機率
性抓補, 可以對新病毒有機會判讀與預警, 補獲後還是得做細部定位標記得出
特徵, 對已中毒的網內機器言還是得用特徵掃毒.
若要達到 client 端不用再掃毒濾出就是網內的 client 端有虛擬機協助自動
在執行時就隨特徵警訊消毒, 若想要排除時, 也能得到完整 un-install 的復
原支援.
還是不知您的沙盤在何處工作, 做甚麼.
推
05/12 21:54, , 64F
05/12 21:54, 64F
→
05/12 21:55, , 65F
05/12 21:55, 65F
→
05/12 21:56, , 66F
05/12 21:56, 66F
→
05/12 21:56, , 67F
05/12 21:56, 67F
→
05/12 21:57, , 68F
05/12 21:57, 68F
→
05/12 21:57, , 69F
05/12 21:57, 69F
所以, 供應乾淨的自來水這件事與河邊取水煮水, 存在著技術差異.
→
05/13 00:22, , 70F
05/13 00:22, 70F
→
05/13 00:22, , 71F
05/13 00:22, 71F
用寶特瓶容器 裝 礦泉水顯然是一個可以參考的實例!
※ 編輯: ggg12345 來自: 140.115.5.14 (05/13 13:41)
討論串 (同標題文章)
完整討論串 (本文為第 11 之 11 篇):