作者sniffer (again)
看板Soft_Job
標題Re: [技術] 雲端掃毒=用你的資源幫廠商
時間Wed May 4 02:35:25 2011
※ 引述《oaz (台灣獨立建國不必錢嗎?)》之銘言:
: ※ 引述《sniffer (again)》之銘言:
: : 沒辦法, 跟學妹學的, 我讀的學系女生太多,
: : 有很多學生硬要充專業, 只好顯老一點
: : 儲存跟分析不一樣, 很多軟體授權合約上都有禁止 reverse-engineering,
: : 更何況掃毒公司是第三者, 還會讓你違反NDA
: : 掃毒公司把你的檔案資料存檔一定不算暫存, 所以這也不成立
: : 但是沒有分析這一步, 就讓欺騙變得很容易, 所以兩者都不好
: 一、無法理解你所謂的 "儲存跟分析不一樣"
: 即使是非雲端掃毒,也是分析
: 無法理解現在非雲端掃毒不會違反版權,但雲端掃毒卻會違反版權
掃毒如果會分析程式流程, 就算是 reverse-engineering,
但是因為行為人是客戶, 而且客戶本人也沒有"看", 所以通常不會被告
: 二、所謂的逆向工桯,是透過對二進位碼分析來解解程式的運作
: 但這個分析跟掃毒的分析,意義上似乎不太一樣
: 至少,掃毒的分析不會讓你了解程式的運作
對, 但是如果要作proactive, 就會分析流程, 雖然你無法透過掃毒知道流程,
但是如果雲端可以從分析資料, 知道部份程式流程,
這就違反NDA跟no reverse-engineering規定
如果雲端取得的資料跟流程無關, 又無法杜絕欺騙
: 三、有些郵件的閘道器會掃郵件有沒有毒
: 照你的說法就是,會違反版權
: 四、掃毒公司不一定要 "長久保留" 檔案
: 舉例,掃毒公司分析完檔案後,可以記錄這個檔的特徵值以及有沒有毒
: 然後把檔案刪掉
: 至於掃毒公司是否真的會刪,一來,儲存要成本
: 二來,這可以透過法律途徑來解決,也就是簽約
: 五、 Google 會暫存網頁,還會幫忙分析是否是內含惡意程式
: : 學任何科學, 要認知一件事, 有些東西就是沒有方法可以解決,
: : 任何方法都有他的極限, 不是一廂情願認為一定可以
: : 1. 評價人數問題, 因為防毒公司要作新機的生意, 所以無法確實追蹤每一個用戶真假
: 防毒公司為什麼要 "無法確實追蹤每一個用戶真假" ?
: 只要九成的用戶不會無聊沒事去惡搞就行
一個毒也只會在很少部份user有, 所以其他用戶與此檔無關, 雲端怎麼判斷得了
: : 2. 放棄沒有付錢登記的用戶, 也還是可以靠已經被入侵的客戶botnet
: 為什麼要放棄,只是沒有付錢登記的用戶的可信度較低
: 但若有一萬個用戶說那是有問題的,還是可以相信
一樣用雲端技術, 一台電腦可以假裝成100台, 所以現實中這沒什麼用
: : 3. 如果有人回報有異就放棄該筆資料, 那就可以作成DoS讓雲端失效, 也一樣
: 第一, DDoS 也要成本
: 第二,不是有人回報有異就放棄該筆資料
: 而是那筆資料的可信度會降低
: 就像,判斷垃圾郵件的機制一樣
: 如果一個人回報某一封信是垃圾郵件,但可信度不高
: 但有九十九個人都回報那是垃圾郵件,可信度就高
: 不會因為一個人回報有異就放棄資料
那就一樣是個洞, 一個毒本來就不會人人都有,
會回報同一個檔案的人不多, 怎麼分真假?
: : 4. 如果上傳檔案檢查, 版權隱私問題出現
: 的確是會有版權隱私問題
這個你明確知道所有檔案都傳到 google 去了,
而且有些NDA的檔案的確禁止傳到網路去, 這一樣會被告
雲端掃毒只籠統的給你一個要或不要選項, 而不讓人拒絕貢獻,
也不在上傳時明確指出上傳的資訊, 並加以詢問, 某些網友還覺得理所當然
這個我原文就有說過
: 但那又如何?現行的郵件機制,如 Gmail 也是會有此問題
: 但日子還是過得好好的
: : 所以最後他怎麼選擇, 都對使用者不好
: 以上,你所舉的例子,在現行都已經在使用,而且沒有大問題
: 譬如 Gmail ,你的資料既存在上面,它還分析是否是垃圾郵件
: (不確定是否有分析是否是惡意程式)
: 它也有可能被 DDoS
看用途, 如果你的 email 被 DoS 回報成 spam, 只是不方便,
掃毒誤把正常檔當毒, 你電腦會掛掉, 不同產品的容錯本來就不一樣
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 112.104.14.70
→ zvn:重點是人家雲端掃毒根本沒上傳整個binary,所以照你的邏輯, 05/04 09:35
→ zvn:完全沒事啊XDDD 05/04 09:36
推 asimon:1)binary同樣可以mining出pattern, 誰說掃毒一定得逆向工程 05/04 11:11
→ asimon:2)我還是很好奇你懂不懂worm的散布方式, 回去研究病毒/ 05/04 11:11
→ asimon:蠕蟲的生命週期吧, 請提出reference,證明有哪一種著名蠕蟲 05/04 11:12
→ asimon:只會在很少部份user有 05/04 11:12
→ asimon:3)就算有雲端技術, 一台電腦一樣無法取得100個ip, 05/04 11:12
→ asimon:100個防毒license, 有$才可以 05/04 11:12
推 ldwang:老實說我看不懂1)2)的點,抱歉。關於3),對方辯友有提出 05/04 14:20
→ ldwang:botnet 05/04 14:20
推 ihon822:整的檔加密演算得出特徵碼完全不需要逆向工程啊 05/04 15:34
→ zvn:重點是 client不可能回報雲端,哪個檔案無毒.....XD 05/04 15:42
→ zvn:client一般只能query,問問雲這個檔有沒有毒 05/04 15:42
→ zvn:另外是,botnet要組出那個封包,需要該防毒公司的加密演算法、 05/04 15:43
→ zvn:reporduce出該公司組封包的演算法、reporduce出該公司抽特徵的 05/04 15:43
→ zvn:演算法,還有協定內的salt。能破解到這裡,那家防毒軟體公司已 05/04 15:44
→ zvn:經沒有機密了....XD 得要內神通外鬼才做得到 05/04 15:45
→ zvn:若真的這能破解的話,我相信現在已經有virus在做這件事了 05/04 15:45
→ zvn:這世界上hacker無奇不有 可強的了XD 05/04 15:45
→ zvn:12你不懂沒差,1簡單講就是對方擔心的事不會發生,2是對方不懂 05/04 15:46
→ zvn:worm的行為,你可以上網查查worm的原理,就可以看得懂了 05/04 15:47
→ zvn:virus跟worm的定義,前面有不少link,你可以翻一翻 :) 05/04 15:47
→ askeing:#1DkmMAw5 他還說 AV 要改叫 AW? 現在是叫 AM 吧… 05/04 16:13
→ askeing:人家又不是只掃其中一種,現在叫 Anti-Malware 還不夠 05/04 16:15
→ askeing:很多都直接改叫資訊安全廠商,而不只是防毒廠商了 05/04 16:15