※ 引述《sniffer (again)》之銘言： : 用推文容易誤解, 還是另外寫 : 雲端掃毒, 有網友說是只要檔案上傳檢查碼, 雲端告訴你有沒有問題, : 這只是其中一個動作, 真正流程是: 這是我第一個疑惑 請問您是哪家防毒的專家，一句真正流程是怎樣就怎樣？ 我是覺得各家作法應該都不太一樣 可以請您說明一下嗎？ : 一、 一個檔案用"你"的cpu掃過毒, 沒問題後, 用"你的"網路上傳到 server, 成為資料庫 : 可能只上傳 digest, 也可能上傳整個檔 : 問題: : 1. 憑什麼用你的 cpu 幫他驗證 安裝資安軟體，不跑起來掃毒還叫資安軟體嗎？ 裝了Windows結果Windows不動，你裝他做啥？ : 2. 憑什麼上傳你電腦的資訊給他用 : 3. 如果整個檔上傳, 還有版權問題, 作者有同意嗎 以上兩個幾乎各家都有勾勾可以選，你不想勾是你的事情， 你懷疑勾勾拿掉還有偷偷整個檔案上傳，請證明然後公佈，我想大家會挺你。 : 4. 如果沒上傳這個檔, server 怎麼知道你電腦真的有掃過, 不是山寨 client 這個聽不懂你在說什麼。 : 二、 下次別人掃毒, 只要檔案跟你一樣, digest 就一樣, 就不用掃, : 上傳 digest 比對就好 : 問題: : 1. digest 不代表不能假造, 他用哪種演算法? crc 的話等於沒用 CRC抽取檔案的許多片段，至於要抽哪，應該會不停的更新。 抽了以後上傳比對，看起來有問題，就當作可疑，叫Client去掃看到底有沒有毒。 : 2. server 會知道你跟某人檔案版本一樣, 隱私安全無保障 以CRC抽片段上去，幾乎就沒這問題。 上面要的是特定片段的特徵，看那特徵有沒有問題。 醫生看你的舌苔，又看正妹的舌苔，你們舌苔看起來一樣，你就是正妹嗎？ 還是你們都只是感冒了而已？ : ◆ From: 122.116.218.88 : → TonyQ:讓我們期待領域專家的回應。 04/27 14:13 先跟Tony報備一下，我不是專家 XD : 推 ggg12345:雲端助掃毒過濾,又不造成client負擔,是絕招也是對手障礙! 04/27 14:21 : → ggg12345:問是先有雞還是先有蛋?該先問毒(雞)是如何先被判斷出來? 04/27 14:26 : 只是輔助, 還是要有正常掃毒功能 如同ggg12345的說法，雲端就是輔助的概念，有疑問大多都還是回頭叫client去確認， 大概的概念就是讓雲上有最新的特徵比對表， Client花資源下去掃之前，先把特徵丟上去比，有問題就確定要掃。 : → askeing:一 1.裝防毒掃毒跑起來正常阿 04/27 14:40 : → askeing:不然你裝windows進去之後叫他不要吃cpu看看 04/27 14:40 : → askeing:2.3.勾了允許feedback不是，你吃上傳他吃下載，不爽就別用 04/27 14:40 : → askeing:4.看不懂要表達什麼？ 04/27 14:40 : → askeing:二、1.CRC等於沒用？誰跟你說整個檔案了…抽很多片段去取 04/27 14:40 : → askeing:2.抽檔案中的某些特徵，不同檔案的某些地方特徵也會一樣 04/27 14:40 : 孩子, crc 只要動幾個 byte 就可以造出一樣的 crc 卻不同內容, 請努力學密碼學 上面已經回過了，密碼學很重要，但是怎麼用有很多方法，多想一下吧。 「孩子…」這句原封不動還您 ^^ : 推 lunastorm:要告就去告吧 加油^_^ 04/27 14:42 : → askeing:「如果沒上傳, 那更慘, 以後做毒只要上傳雲端"備案", …」 04/27 14:43 : → ppaass:go a head...^_^ 04/27 14:43 : → askeing:上面那句看不懂！？備案啥東西？ 04/27 14:43 : 備案就是, 假造對自己病毒掃過沒有毒的結果, 上傳回去, 以後就被當沒毒 這種事情誰都想的到阿，把自己丟進白名單就可以為所欲為，好像很簡單。 Then？要怎樣做？ 很多驗證機制就可以過濾第一關了，之後也可以加入其他機制去清除重新驗證。 更重要得是，誰說只有一個人說是好檔，上頭就相信了。 老闆想買iPhone，你回他說要十萬想撈一筆， 誰知道老闆是不是同時找了十個人去詢價。 這方面我想資安公司會比你擔心，也想的比你多， 你有什麼真的很好很強大的欺騙手法可以騙過各家資安廠，我想應該可以發論文吧！？ : 我一向認為掃毒是詐欺業, 就算有 source code 都不一定看得出是病毒了, : 請問, 何為 " 有害程式 "? : ※ 編輯: sniffer 來自: 122.116.218.88 (04/27 15:37) 詐欺業不予置評。掃不掃的到也是另一回事。 路人看外表也不知道是不是有前科， 把人的前科紀錄都調出來了，還不知道有沒有前科，那就是眼睛或腦袋判斷力有點怪。 當然 Source Code 內的惡意行為不能完全用上面例子類比，但是有點像。 （有前科不代表以後會怎樣，跟電腦程式不一樣） 看程式名不知道有問題很正常， 而看了 Source Code 知不知道有問題就是個人能力問題， 根本就大辣辣寫在那，看不出來是能力不足， 而如果藏得很好很隱密，就是比程度了，程度不到自然看不出來。 除非以下的情況發生… 也就是他怎樣寫你都不覺得是惡意程式，自然你看起來都覺得很理所當然！ 至於怎樣叫做有問題，自己去查google 或看 http://en.wikipedia.org/wiki/Malware 如果你網路購物的資料因為某X程式偷了， 然後你還不覺得X程式叫惡意程式…我想大家可以←離開這串討論了 XD : → askeing:所以才說你不懂，CRC一樣，上去，可疑，回來叫你掃毒 04/27 16:23 : → askeing:假傳沒毒的資料上去，人家怎樣處理是別人的事情 04/27 16:24 : 孩子, 檢查碼是用在沒有毒的檔案上, 病毒在我小時候就會變形了, : 用檢查碼抓有毒片段, 20年前就沒效了 : 聽起來很像是廠商的業務, 因為技術含量不夠 真抱歉，我不是業務，你買哪家都不關我的事。 2011 - 20 = 1991 CIH 也到 1998 才出現，這時候才有開始有這種特殊的作法。 隨便舉個例子而已，到底你要說的是什麼，還是你說的年代有問題？ 而技術含量又是什麼？ 這就是我所知道某家的「其中一種」作法，正因為不夠準確，所以只會判斷可疑， 還會搭配其他技術，目前為止，您的推測又有多少技術含量了？ 回過頭來，您所謂的「真正流程」到底是從哪知道的咧？ 是您就是雲端資安高手，還是您自己憑空想出來的？ -- 星塵｜http://askeing.blogspot.com/ 噗浪｜http://plurk.com/Askeing/invite jPlurk - Plurk Official API Binding in Java http://jplurk.googlecode.com/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.87.142.18 ※ 編輯: askeing 來自: 219.87.142.18 (04/27 17:28)