Re: [技術] 雲端掃毒=用你的資源幫廠商

作者sniffer (again)

看板Soft_Job

標題Re: [技術] 雲端掃毒=用你的資源幫廠商

時間Thu Apr 28 10:58:36 2011

※ 引述《deanh (夜想者)》之銘言： : 對於自己不懂的東西，口氣就好一點。只能說我不寫掃毒, 但是我寫 assembly, 我寫 driver, 我寫 os, 我也寫平行處理, 聽說現在要改稱雲端我最喜歡的還是幫別人 debug, 改一行賺超過 $1000 : ※ 引述《sniffer (again)》之銘言： : : 用推文容易誤解, 還是另外寫 : : 雲端掃毒, 有網友說是只要檔案上傳檢查碼, 雲端告訴你有沒有問題, : : 這只是其中一個動作, 真正流程是: : : 一、一個檔案用"你"的cpu掃過毒, 沒問題後, 用"你的"網路上傳到 server, 成為資料庫 : : 可能只上傳 digest, 也可能上傳整個檔 : : 問題: : : 1. 憑什麼用你的 cpu 幫他驗證 : 你裝防毒軟體不掃毒是要幹嘛？覺得防毒軟體吃CPU就不要裝啊。 : : 2. 憑什麼上傳你電腦的資訊給他用 : 所有廠商在安裝的時候，都會提供你是否願意提供資訊給防毒公司進行病毒分析。 : 你自己要勾選的。你要關上這個服務，所有防毒軟體都提供關閉的這個功能的選項 : ，非常好找，不管是N牌的檔案信譽評等、P牌的群體智慧等等，全部都有。 : 但是你關掉了分享功能，就不要怪對方廠商沒有使用於雲端防毒技術幫你處理你 : 可能的病毒。這個選項範圍太廣, 擺明了就是要用你蒐集新檔案, 要"幫你", 雲端只跟你要檢查碼就夠了, 卻不分成兩個選項, 這叫綁架使用者 : : 3. 如果整個檔上傳, 還有版權問題, 作者有同意嗎 : 沒有防毒公司會整個檔上傳，你當防毒軟體公司是白痴啊？流量無限？你知道這世界上 : 有多少N牌防毒軟體？遇到新的檔才做, 當然就不用每個人, 還有我有點說錯, 傳部份也一樣有版權問題, 如果特徵資訊牽涉程式流程, 例如把 jump 翻成 if, 這也是侵權所以掃毒軟體公司都不敢公開技術細節 : : 4. 如果沒上傳這個檔, server 怎麼知道你電腦真的有掃過, 不是山寨 client : 防毒軟體廠商是從雲端下載特徵碼在本機比對。或是檔案的特徵檔上傳到Server上 : 這不一定，端看防毒廠商怎麼實作。 : 不是把你的檔案傳上去檢查是不是病毒。這個特徵碼的量很少，可以杜絕大部分 : 簡單的病毒，增加效率。你們都在刻意模糊焦點, 我說的是遇到新的檔案, 假如只上傳檢查碼, 病毒作者大可以作假的資訊欺騙不管是把有毒當沒毒, 還是沒毒當有毒, 都很有殺傷力, 之前某掃毒讓人開不了機, 就是沒毒當有毒 : : 二、下次別人掃毒, 只要檔案跟你一樣, digest 就一樣, 就不用掃, : : 上傳 digest 比對就好 : : 問題: : : 1. digest 不代表不能假造, 他用哪種演算法? crc 的話等於沒用 : : 2. server 會知道你跟某人檔案版本一樣, 隱私安全無保障 : 不要再把防毒軟體公司當白痴了。他們賺錢方面的確很聰明, 但是自稱資安廠商, 就是胡說八道從台灣的 t 到俄國的 k, 都有出過很多網路有關的漏洞, 而且還是最簡單的那種: 1. 網路 socket 沒有權限檢查, 任何人都可以連 2. 網路資訊沒有 sanity check, buffer overflow : 你以為真的防毒軟體公司只抓digest？防毒軟體會取得許多檔案資訊，甚至是你電腦環境 : 的資訊，這些特徵值數量很多，每家防毒軟體公司可能都不一樣，可能有檔案大小， : 名稱、建立時間.......利用這些特徵值，防毒軟體公司可以利用雲端分析技術判斷這 : 個檔案可不可能是病毒，由於透過雲端技術的協助，防毒軟體公司可以比過去更快速的 : 發現先新種病毒，而不用等待各地的病毒收集站來回報。如果你來自業界, 謝謝你證實雲端會蒐集新病毒 ^_^ 請不要逃避前面的問題, 掃毒軟體只是一個裝在電腦裡的程式, 他跟雲端的一切溝通, 當然都可以假造, 當年 SETI 就被人假造運算完成筆數當你擁有一個 protocol 的程式, 破解 protocol 就沒有什麼難度, 密碼也幫不上忙, 畢竟加密的 key 就在程式裡 : 簡單來說，這是一種利用群體智慧來偵測病毒的新方式。也可以用簡單的方式判斷這 : 是不是正常檔案，進而減低掃描時間。 : 至於防毒軟體公司如何利用收集到了的資料偵測病毒，那是防毒公司的專利，肯定不是 : 你能想出來的。好像廣告詞, 來自美國高科技, 獨家專利 : 另外，各家防毒軟體公司絕不可能利用你所上傳的資料反追蹤出你是哪個用戶。因為裡面 : 根本不會有可以追蹤到用戶帳號的資訊。 : 若是發生早就被美國政府單位告到死。還有所有上傳到Server端的資訊都經過加密， : 除非被破解。但還沒有聽說有發生破解的情況的。 : 他會知道你的檔案跟別人一樣，但是他不知道你是誰，他也不知道那個別人是誰，只 : 知道這兩個人都是用戶。 : 會不會有誤判？當然會，對於某些稀少的檔案就曾經發生過這種事，比如某一個 : 魔獸世界的更新檔，就被N牌防毒軟體判斷成病毒，因為他不符合檔案信譽評價系統。檔案信譽評價系統, 聽起來就是蒐集用戶的無毒檔案資訊 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.116.218.88

→ ppaass:哇...改一行賺一千耶，// 改 /* */ 嗎？ 04/28 12:01

這收費很便宜了, debug 要看懂別人的程式才能改, 原作者離職或是搞不定, 也許只有幾行要改, 但是一個case至少也要 5,6 位數吧, 開發票還要扣5%

→ yjkuo:搞不懂你希望怎樣, sample本來就是從客戶來的... 04/28 14:00

→ yjkuo:要幫客戶解決病毒問題, 又不能從客戶那邊收集樣本... 04/28 14:01

→ yjkuo:難道要用念力幫你生出新的特徵幫你抓出可疑檔案? 04/28 14:02

你怎麼確定蒐集的東西是病毒? 所以當然要讓使用者選, 不能強迫參與貢獻貢不貢獻跟能不能被雲端服務是不相關的

推 asdfghjklasd:我不會寫程式,但是我昨天算了一下,我寫一頁A4值多少 04/28 14:16

→ asdfghjklasd:6頁值320000NTD,裡面只有公司中文英文,地址中文英文 04/28 14:16

→ asdfghjklasd:名字中文英文還有電話. 04/28 14:17

→ lwecloud:第一段真的很沒必要，到底是要討論還是說教? 04/28 14:26

→ lwecloud:難不成以後討論串都要先附上履歷才能發言? 04/28 14:28

→ ppaass:其實原 PO "也是" 一位外商小主管...XD 04/28 14:39

推 ggg12345:會寫組語也會DEBUG的就是會patch,也就是會寫病毒碼,寫久 04/28 15:28

→ ggg12345:寫出虫就是寫了病毒,看多了就知道如何掃,先掃後掃標記在 04/28 15:32

→ ggg12345:何處?暗記該脫離主體放在那裡?那就是掃地服務的本事. 04/28 15:40

推 ggg12345:傳一部份侵權那google天天在做,用binary translationcode 04/28 15:49

→ ggg12345:跑那vmware就是.顯然這也是端看怎麼做,別被洋人土匪騙了 04/28 15:53

vmware 沒有上傳, 發生的地點 in pc, 要告也是告 user 進行 reverse-engineering, google 的確有被告, 所以經常撤網頁

→ meteor260:看到加密的key在程式裡就end, 連加密的key不能解密都不 04/28 16:09

→ meteor260:知道, 不知道這半瓶水到底是想要多響 04/28 16:09

加密前的原始資料就在你電腦裡, 加密的 key 也在, 加密是有什麼用, 有些人瓶子小, 一裝就滿了, 噴出來了 ※ 編輯: sniffer 來自: 122.116.218.88 (04/28 17:23)

→ yjkuo:你是以你的想法在考慮, mis有那麼多時間選嗎?(幾千台電腦) 04/28 17:31

→ yjkuo:end user會嗎? 04/28 17:31

→ yjkuo:而且感覺你根本不信任防毒軟體廠商, 既然不信任... 04/28 17:32

→ yjkuo:給你再多解釋, 有意義嗎? 還要裝在你寶貴的電腦上... 04/28 17:32

→ meteor260:笑到肚子破了, 懶得回你了, 這樣還敢修文回, 臉皮要夠 04/28 18:13

→ Lordaeron:加密key不能解密是因為你用RSA 若用AES 就是同一把 04/28 19:05

→ Lordaeron:這有什麼好笑的? 04/28 19:05

→ Lordaeron:加密法只有RSA? 04/28 19:07

→ meteor260:你希望別人解不開然後把key放在檔裡面然後用AES? 04/28 23:06

→ meteor260:我確實是沒有這樣想過 04/28 23:09

→ meteor260:好吧，我上面有語病，有辦法使加密的key無法解密 04/28 23:11

→ Lordaeron:你的key 不放程式裏, 要放哪裏? 04/29 00:00

→ ihon822:這世上有個東西叫PKI... 04/30 01:00

→ leicheong:即使以PKI的方式, 你也要把key放到安裝檔去吧? 04/30 17:55

→ leicheong:總之正常client有方法取得的key, 他們也會有方法取得. 04/30 17:57

→ ihon822:公鑰加密私鑰解密公鑰大家都可以取得沒私鑰你怎麼解 05/01 16:51

→ leicheong:沒私鑰你也可以用公鑰加密照樣上傳啊... 05/01 17:23

→ leicheong:PKI就是這麼一回事吧... :P 05/01 17:23

→ leicheong:反正真假client都在同一個host, 都用相同方式上傳資料, 05/01 17:26

→ leicheong:伺服器端沒甚麼好方法分辨真假client... 05/01 17:26

→ ihon822:真這麼好弄的話金融業早就停止網路交易了 05/01 18:56

推 leicheong:金融的最大的不同, 在於transaction中有「密碼」甚至2FA 05/02 16:03

→ leicheong:第三者是無法獲得的. 不過AV這例子中, 如果花個數千元 05/02 16:04

→ leicheong:買一堆序號可以讓你的zombie network不太容易受一類知名 05/02 16:05

→ leicheong:的AV發現, 我想他們不會省這些錢的. (因為這是他們本身 05/02 16:07

→ leicheong:的價值所在) 05/02 16:07

→ ihon822:你覺得防毒公司的資安會做得比金融產業差嗎? 05/02 18:10

→ ihon822:就算有造假資料上去了信譽評等會因小部份造假資料改變嗎 05/02 18:12

→ leicheong:不. 我只是說如果只上傳已安全完成掃瞄的檔案的特徵碼, 05/02 22:26

→ leicheong:有心人會很容易做假而影響整個結果... 05/02 22:26

→ leicheong:這和信譽甚麼的無關, 單純是在防毒公司的角度下的 05/02 22:27

→ leicheong:可操作性問題... 05/02 22:28

→ ihon822:所以你應該先去看產品的架構他的特徵碼是採信譽評等 05/03 00:47

→ ihon822:user的weight跟third party的weight是不一樣的 05/03 00:49

→ leicheong:所以我才說只是用hash的話會有這問題...... 05/03 07:14