→ zvn:重點是雲端只是輔助本機掃毒,不是全部的detect都在雲端完成, 05/04 13:45
→ zvn:每家廠商的做法都是這個樣子,所以其實大家都不用上傳全部的 05/04 13:45
→ zvn:東西。不然你光傳檔案就傳不完了 這樣子你了解了嗎? 05/04 13:45
→ zvn:如果你有乖乖去反解他們的通訊或直接去監看封包就知道了 05/04 13:46
→ zvn:反正你號稱要破 我想你應該也已經破解封包了吧..XDDDDD 05/04 13:46
→ askeing:zvn你說的前面很多人跟他說過了,只是用來輔助判斷可疑度 05/04 14:15
推 ldwang:@zvn、askeing:你們針往前跳了..雖然不用上傳全部的東西, 05/04 14:39
→ ldwang:但是只要是"新作品",對方論點是"判別是否為毒成功率接近0" 05/04 14:40
→ ldwang:所以此類都要上傳並判讀。現在問題是是不是真如sniffer說 05/04 14:42
→ ldwang:只有違反著作權一途方可知是否為毒? 05/04 14:42
→ ldwang:或,是否新寫病毒真的無法防禦?有過此種評測? 05/04 14:45
→ askeing:全新的一種特徵上來,沒有資料,就回報可疑,client掃 05/04 14:57
→ askeing:如果client引擎判定有毒就處理,願意feedback樣本,就收 05/04 14:58
→ askeing:類似這樣的方式就可以了,重點在「雲端是輔助」 05/04 15:00
→ askeing:講的都是一樣的東西,沒有啥往前還往後跳 05/04 15:00
推 ldwang:所以流程整理一下,99%的人不會寫病毒,feedback勾選yes, 05/04 15:14
→ ldwang:收到1%會寫的人寫出的新特徵(不一定是病毒),此時分成多種 05/04 15:16
→ ldwang:可能性。該新特徵程式被feedback。另或,該新特徵程式為病 05/04 15:17
→ ldwang:毒並破壞client連feedback都不會發生(您對方論點)。 05/04 15:18
→ ldwang:另或該新特徵程式被feedback但非病毒而原作者不願。 05/04 15:21
→ ldwang:..恩,其他請見本討論串。 05/04 15:22
→ ldwang:我本身真的不懂,只是整理你們。我想我結論是防毒非用不可 05/04 15:22
→ ldwang:,但資安必須如sniffer一開始所言,另求完整保障。 05/04 15:24
→ askeing:並不是新特徵就feedback,而是雲端告訴你可疑,本機下去掃 05/04 15:24
→ askeing:沒毒當然就沒事 05/04 15:27
→ askeing:有毒且掃到有毒,處理,同意feedback就收樣本回去分析 05/04 15:27
→ askeing:如果有毒而本機引擎抓不到,那就是所謂的掃不到毒啦~ 05/04 15:27
→ askeing:總之feedback機制,跟透過雲端去輔助判定可疑,是兩碼子事 05/04 15:28
新特徵就是沒看過, 沒看過你麼知道有沒有毒, 如果掃得到, 代表雲端已經有了,
還上傳分析個什麼? 自相矛盾
→ zvn:這道理就像是 你請了保全來顧銀行,不代表銀行就“完全”不會 05/04 15:31
→ zvn:被搶;後面對方是在爭就算有保全,銀行還是會被搶.... 05/04 15:31
銀行被搶, 保全公司合約是會賠的(通常保險跟保全綁一起),
而且保全不會跟客戶唬爛說可以預測搶案, 或是提出杜絕xx%搶案的數據
→ zvn:所以我覺得值得說明的只有前面的部份,後面只是練習打臉而已 05/04 15:32
→ zvn:另外,新寫的病毒照理說會先拿全部的防毒軟體測過,病毒也是有 05/04 15:33
→ zvn:QA的 XD 我相信他們會等pass全部的測試再release出來 但並不是 05/04 15:33
→ zvn:因為這樣子,防毒軟體就完全沒用,因為防毒方過一陣子一發現這 05/04 15:33
→ zvn:病毒,就會再標上新的特徵上去。所以這病毒又會再被抓出來 05/04 15:34
→ zvn:就像是壞人用了新的詐騙手法成功騙到錢,警察在民眾檢舉後, 05/04 15:35
→ zvn:透過正式管道告訴民眾不要受騙上當一樣。但並不是警察沒辦法幫 05/04 15:35
→ zvn:你防所有的詐騙跟犯罪,警察就沒用。你可以看看sniffer被打臉 05/04 15:36
防詐騙, 是靠你自己學, 而不是警察抓, 根本不一樣:
1. 警察發揮的是事後的作用, 警察事後還是可以抓人,
掃毒被新毒攻破就直接被關閉, 再也不會動
2. 警察不會跟你講, 我們已經把詐騙都抓走了, 放心聽電話匯錢吧
→ zvn:打很大的那幾點,主要都是打防毒沒用還是會中毒,再被倒打回去 05/04 15:36
→ zvn: 最少我主要是打這些啦...其他是他自己沒學好搞錯,我就順便xd 05/04 15:37
有人看著鏡子打臉, 可能常打, 臉皮厚沒感覺, 還以為在打別人?
推 ldwang:謝謝兩位教導。也謝謝sniffer大教導。 上班不可以再B了>< 05/04 15:48
※ 編輯: sniffer 來自: 122.116.218.88 (05/04 18:34)
→ zvn:你以為,客戶出現virus大量outbreak,security company不用派 05/04 19:33
→ zvn:人去處理嗎?XDD 我笑了 XDDD 05/04 19:33
→ zvn:而且你的比喻根本就是錯的,防毒軟體也不會預測未來會不會發 05/04 19:34
→ zvn:生virus outbreak 搶案發生應該對比於病毒入侵 XDDDD 05/04 19:36
→ zvn:防詐騙是跟malware比,我最後一行也寫了警察沒辦法幫你防所有 05/04 19:38
→ zvn:的犯罪。你是趕下班太及所以被我倒打嗎?XDDD 05/04 19:38
你的比喻都不恰當,警察不會跟你說:這個人我檢查ok,安心匯款吧
掃毒軟體卻會給你虛假的安全感
※ 編輯: sniffer 來自: 221.120.65.21 (05/04 19:45)
→ zvn:另外民眾自己學也得有辦法學,警察宣導那段只是拿來比喻 05/04 19:39
→ zvn:pattern deploy,當然我知道你不懂(拍) 05/04 19:39
→ zvn:另外,我也沒聽說有哪家防毒公司號稱世上無毒了,放心開檔案吧 05/04 19:40
→ zvn:最後的推文,跟你真的很像,我今天才知道打別人臉,手也會痛XD 05/04 19:40
→ zvn:還有,誰在跟你通常...你想太多,保全跟保險通常是分開的約啦 05/04 19:41
→ zvn:你現在舉出任何一份,保險跟保全簽在一起的合約給我看看 05/04 19:42
→ zvn:還有 人家上傳pattern分析是“可疑”的pattern,所以說雲上沒 05/04 19:44
→ zvn:有的pattern還是可以上傳請cloud check,懶得等a大打你臉了(啪) 05/04 19:44
→ zvn:你錯了,資安軟體只會說“找不到已知的威脅” 05/04 19:46
→ zvn:資安軟體講“這個軟體是安全的,請點他”是在找死好嗎XDDD 05/04 19:47
→ zvn:還有,你的掃毒被新毒攻破就會關掉也是錯的,因為不是全部的新 05/04 19:51
→ zvn:毒都關得掉掃毒軟體。這根本就不是事實 XDDDDD 05/04 19:51
→ zvn:從你那行看得出來你真的不懂 XDDD 05/04 19:52
→ zvn:不信的話你寫個新毒,看掃毒關不關得掉 XD 05/04 19:53
→ zvn:還有,新毒不是攻掃毒軟體,是想辦法改OS的設定或在掃毒之前先 05/04 19:54
→ zvn:load起來;再等掃毒要起來時把掃毒disable掉,情況就像是黑道 05/04 19:54
→ zvn:當上了政府的大頭 把全國的警察局給拔掉讓警察失業一樣 (啪) 05/04 19:55
推 leicheong:為偵測病毒進行的逆向工程會受fair use條文保護的啦... 05/04 20:47
→ leicheong:所以防毒公司本身沒有問題, 責任在使用者身上... 05/04 20:48
→ leicheong:不過如某國的人因BT被告後, 辯解自己對BT clinent上傳 05/04 20:50
→ leicheong:檔案並不知情, 而被法官接納, 這情況下也可以用相同 05/04 20:51
→ leicheong:理由嗎? :O 05/04 20:51
→ Lordaeron:BT 不會有法官相信你不知情的, 已經開例了. 05/04 23:55
→ asimon:看看人家到底要不要逆向工程.. xDa 05/05 04:42
→ asimon:抱歉paper看太晚現在才打 ((啪! 05/05 04:44
→ viable:引續一下sniffer語錄給樓上回應,"你不是吃這一行飯的料"? 05/05 08:40
→ zvn:a大你太慢了XD 搞不好人家根本看不到 XDDD 05/05 09:33
推 asimon:哭哭 O_Q! 人家沒有用xx寬頻咩 T__T 05/05 12:32
你是說這一篇吧, 給人 google 連結, 我就當是第一個結果:
http://www.cs.ucsb.edu/~seclab/projects/polyworms/index.html
只能說連論文都不仔細看, 現在的學生水準真糟糕,
finger printing, 你有看下去嗎, 是用 control flow 喔,
contro flow 就是 trace, 也就屬於 reverse engineering,
還是你覺得 trace 不算 reverse engineering? 再掰呀
※ 編輯: sniffer 來自: 122.116.218.88 (05/05 13:12)
推 asimon:是你說第一篇 不是我說的, 你都說防毒軟體不準了還只看 05/05 13:23
→ asimon:Google的排序.. PADS呢? SRE呢? Polygraph呢? 05/05 13:25
→ asimon:給魚吃不如教如何釣魚..! 也不看看關鍵字下什麼.. 05/05 13:25
→ asimon:另外, 很抱歉這不是我的研究領域.. 門外漢而已 lol~! 05/05 13:27
果然你會這麼說, 不敢明確指出哪一篇, 因為你看不懂,
想寄託於網路, 看有沒有誰可以不用分析流程來辨識程式, 做夢去吧
※ 編輯: sniffer 來自: 122.116.218.88 (05/05 17:03)
→ zvn:重點是逆向工程的命題不存在了 所以不用再爭了 乖 05/05 21:17
推 asimon:PADS SRE Polygraph 都是論文阿.. 自己不會找怪我唷..? 05/05 22:25
→ asimon:想被打臉就直說嘛.. 05/05 22:25
→ asimon:別跟我說要找PDF給你看會看.. 不知道是誰在作夢 =__=a 05/05 22:41
→ zvn:他大概是看了第一個link,發現好像有機會吐嘈,就忘了後面 05/05 23:49
→ zvn:千千百百個link排隊等著打他臉了吧... 05/05 23:50
→ zvn:你也會搞人? Google:略懂 05/05 23:50
又不敢指明哪一篇, 哪一篇你看懂了? 哪一篇不用流程? 舉出來呀?
後面千千百百一樣需要分析流程, 只要有程式流程就是reverse engineer,
程式就是流程, 任何packer都不能改變原程式流程, 只有流程不會變形,
想找不用流程辨認程式, 就像不看照片卻想過濾恐龍妹一樣
※ 編輯: sniffer 來自: 123.204.215.193 (05/06 01:52)
→ zvn:所以你承認你不敢看那麼多篇需要我幫忙了?要的話說一聲 :) 05/06 10:49
推 ldwang:樓上的推文會不會太low?每看一次就對防毒品牌形象low一次 05/06 11:24
→ zvn:我個人的推文跟任何品牌沒任何關係 不需要做任何聯想 05/06 11:50
→ zvn:光asimon的第一個聯結就說明了,pattern可以由系統自己生出來 05/06 11:55
→ zvn:不需要人去看;換句話說重點在於人不用看流程,這就像是gmail 05/06 11:56
→ zvn:拿你的mail content做廣告,但因為他號稱是機器去看所以沒有 05/06 11:56
→ zvn:法律上的疑律是一樣 05/06 11:57
→ zvn:另外,怕被拿去分析生pattern就不要同意feedback就沒事了, 05/06 13:27
→ zvn:根本沒有後來這裡的問題 05/06 13:27
推 asimon:這邊提到的paper講的都是分析封包流.. 原來sniffer也是 05/06 18:41
→ asimon:reverse engineer.. 哈~! 05/06 18:41
→ asimon:論文標題都找給你了你還要怎樣..? 自己沒看怪我唷? 05/06 18:42