※ 引述《sniffer (again)》之銘言： : ※ 引述《oaz (台灣獨立建國不必錢嗎？)》之銘言： : : ※ 引述《sniffer (again)》之銘言： : : : 掃毒如果會分析程式流程, 就算是 reverse-engineering, : : : 但是因為行為人是客戶, 而且客戶本人也沒有"看", 所以通常不會被告 : : 於是，客戶使用非雲端的掃毒程式來分析軟體，軟體作者通常不會告客戶 : : 但如果客戶使用雲端的掃毒程式來分析軟體，軟體作者就會要告客戶？ : : : 對, 但是如果要作proactive, 就會分析流程, 雖然你無法透過掃毒知道流程, : : : 但是如果雲端可以從分析資料, 知道部份程式流程, : : 你都用 "如果要作proactive" ，就表示還有非 proactive 的方式 : : 然後一直在說 proactive 可能有問題，所以雲端掃毒會有問題？ : : 拿掉 proactive, 對變體跟新病毒偵測率就可以忽略不計了, almost zero : 雲端的問題就是假資料上傳, 雲端運算早就有的問題, : 唯一作法就是加上檢核, 但是檢核就要有"原始資料", : 也就需要上傳使用者電腦上的檔案, 不管是部份還是全部, : 或是處理過可供再分析的資料, 都會有交付第三者的法律責任, : 掃毒軟體卻不提供上傳前確認與報告, : 不要忘了 windows 當機回報都會告訴你傳了什麼, 所有資料, : 掃毒廠商卻以保密或方便為藉口不報告 ====================================================================== 防毒可以看出是在 新病毒 與 更新軟體功能的 差異上. 也就是: A. 正常更新 B. 惡意或矇騙式更動 C. 使用者自行誤動作的更動 其中最大的爭議就是如何揀出與確認新病毒? 1.全新病毒在何處會被發現? a.用戶端(HIDS)與使用者舉報 b.NIDS c.honeynet 誘補系統 2.回報的形式是甚麼? a. windows 當機回報: exception error message, core dump b. 程式名稱, 大小, signature: 老式的 DOS virus 感染型執行檔大小都會變, 跟原始正確檔比對一定可 檢出, 也就是每個片斷執行碼的序列特徵就能查出變形處. c. 病毒是否會去做軟體憑證登錄? 無憑證的是否提供沙盤監測回報? 3.智慧學習系統, 學習舊病毒特徵, 以相似度, 行為特徵估測. 4.以上網下載軟體讓用戶購置 enable-key 啟動功能的供應者對此類透過網路蒐 集會有疑慮. 也就是對蒐集各種鎖, 能開鎖的鎖匠疑慮. 由網路進來client端, 提供 enable/disable symbol 升降級, 是否被視同病 毒行為? 這種行為是否該有憑證認證機制並告知使用者? 換言之. 合法開鎖匠與破門而入的強盜小偷如何區別? : : 再說，我還真不相信沒有技術可以規避 : : 譬如把一個檔切成一百份，每次只掃一份之類的 : : 這樣最好看得出有沒有毒, 而且 bitorrent 這樣做也一樣被告 : : : 你提的這問題跟是不是雲端根本無關 : : 而且我還是認為你把掃毒的分析就視為逆向工程，實在是令人質疑 : : 真出問題，掃毒商就會要求改法律了，類似 "以掃毒為目的不算在內" 之類的 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.115.4.22