作者zvn (lizard)
看板Soft_Job
標題Re: [技術] 從AV-Comparative看統計數字可以怎麼利用
時間Fri May 6 21:01:33 2011
※ 引述《ggg12345 (ggg)》之銘言:
: ※ 引述《sniffer (again)》之銘言:
: : 這樣好了, 我提供大家賺錢的途徑, 既然認為抓不到的很少, 不知道哪家
: : 掃毒公司敢花錢徵求掃不到的, 一隻1000就好, 光用產生器就可以讓他破產,
: : 或者版上有人要來對拼, 一人拿10萬出來, 我寫個毒, 為了公正,
: : 先給你檔案F的 SHA2(F+random), 一個月後才給檔案跟原來的random,
: : 一個月後隨便你拿掃毒來掃, 抓得到你得10萬, 抓不到我得10萬, 我當成賺零用錢,
: : 6位數以下我不感興趣, 看看所謂proactive是不是放屁
: ........
: : → ihon822:未知病毒偵測是靠病毒特徵和病毒行為好嗎 05/06 17:02
: =============
: 越來越熱鬧了!
: 好奇, 先問一下 sniffer 想寫的病毒
: 1. 會不會發作? 例如唱個歌, 砍掉系統某個重要檔之類的.
: 2. 會不會傳染一部份到其他檔案?
: 3. 會不會散潑一部份或抄電腦內一部份資料到其他電腦裡面?
: 4. 還是只是木馬被放進去等著被外來通知或啟用? 或者會主動連外?
最基本應該要:
1. 改寫執行檔,使其在單機上可以一直生 我覺得以病毒來說這很基本
2. 系統不能搞當 因為你還要靠這個系統去散播病毒
3. 不能重覆感染,因為感染過了一直感染是不對的
4. 被感染的執行檔,在感染後可以有點特別的現象讓我們知道他感染了
(建議是寫個無關緊要的reg key這類的,反正不要搞爛系統)
5. 只能感染執行檔,不能讓使用者的文件爛掉,不然使用者發現,他一重灌就沒啦~
以上應該是大學生的作業
6. 不能被現在的所有資安軟體抓到(實際上以防毒軟體運作的模式,我覺得這也不難
7. 這隻病毒可以透過網路或其他途徑(像是隨身碟、網路等)散播 相信這也不難
以上應該是很基本的
8. 把這隻毒送給任何一家防毒公司抽pattern,因為你要測主動式的virus偵測,
人家的偵測是靠pattern(virus的行為及特徵碼等)來做的
9. 病毒要能變種,所以是這隻virus出去感染別人後可以改變自己的樣子
以上criteria符合後,防毒軟體公司沒在兩星期寫給出pattern大家就得小心了,代表這
家公司.......很糟 對新病毒的反應不即時XDDD
然後最後 在pattern出了以後(照理說是不用一個月)
把變種的病毒拿去餵資安軟體,照理說資安軟體得偵測出全部的變形,
不然就算是失敗了
感覺是這樣子比較合理。因為你病毒不變形的話太好抓,所以變個形是應該的
我幫sniffer大補完細部的要求了,我想現在的病毒除了8以外,都可以做到其他的事
加上8只是因為要測主動式偵測 所以才來實驗看看 :P
: 如果都不會, 那就是沒作用, 那如同潛伏不活動, 絕對不好抓, 但也
: 就無大害了. 如果是等外來信號才起來活動一下, 防毒軟體鎖定
: firewall 不給通信, 是否就是防毒了?
上面這個喔,其實病毒沒發作就不是毒了,其實很多病毒最後都不是清掉,
而只是單純的讓它失去效用,OS的patch可以補上原本的漏洞,讓病毒失去效用,
但是病毒不會消失;而有些毒則是清不掉,這跟OS還有防毒軟體的架構有關
: : → zvn:我是說你的方法要公布random,不公布random的話random等於沒 05/06 17:06
: : → zvn:加,因為你可以先寫完毒再配一個碼去湊hash...誰在跟你掃不掃 05/06 17:07
: : → zvn:得到XDDD 另外是你要測pattern掃毒的話,正確做法是你先做一隻 05/06 17:07
: : → zvn:別人掃不到的毒出來,然後給防毒軟體公司去抽pattern,接著你 05/06 17:08
: : → zvn:寫出10萬隻變種毒,看看防毒是否真可以不靠feedback當場抓出來 05/06 17:08
: 這個變種需得定義清楚 ! 如果雞變成了鴨, 雖然都是有翅的禽類, 可是很少
: 人會認為鴨是雞的變種.
: 先排除騙使用者自己扛木馬進去自行啟動這類詐欺集團手法的.
: 假設 sniffer 真是會寫能入侵又能散潑的病毒, 不落入老套或同類種病毒的
: 範圍, 那就是另外穿過不同的洞, 可是能穿的洞有那麼多種嗎? 同個洞穿透
: 的手法變化有限, 這個難變的地方就會成為特徵.
你答對了,其實防毒軟體在抽pattern時,會注意某些執行檔有沒有鑽某個漏洞的可能,
所以一般病毒要躲過去,就是幫自己包好幾層packer,可能三到五層以上
(我也沒寫過packer,所以別問我= =)
而後來防毒軟體的做法就是 你packer包太多層就直接當virus,因為一般人這麼包的
機率相對小 當然有誤判的話 使用者可以從防毒軟體的 ui選ignore
: ========
: 如果是那種等使用者扛進去的木馬, 安裝執行了也遲遲不發作, 此木馬又夾在
: 使用者對外必須用的對外通信上, 連絡對象也是使用者常去的網站網頁, 此時
: 防毒軟體又怎麼抓? 至少, 絕對是會很麻煩!
: → ihon822:不會發作感染其他電腦能叫病毒嗎 頂多叫執行檔 05/06 19:40
: 所以防毒軟體不管木馬? 感染方式途徑那麼多, 幹嘛要木馬去散潑木馬?
這麼說吧 木馬偵測一直是個大麻煩,
因為我們只要隨便寫個網路程式,去網路上下載個東西回來跑(或放在特定的地方),
那這就很頭痛了;因為木馬做的事情跟我們差不多,木馬不是主動偷抓毒下來,
就是native上開個port給其他毒從這個洞鑽進來,然而以防毒軟體而言,他不能把
所有不認識的網路程式都ban掉
也因此,防火牆(不給不明程式開port)、還有installer有沒有digital signature
這類的就會變得很重要;如果大家用windows的話,一定會發現他常常問你,
是否要執行來路不明的程式,或是給不給哪個程式接觸網路,因為...
小心! 木馬就在你身邊!
所以不要亂點來路不明的程式就是這麼來的
為什麼有毒總是殺不掉也是這麼來的,因為你中木馬啦~~~
你砍了,人家又抓回來了,你打他也沒用XD
所以不得不說 木馬真的很惱人,基本上來路不明的程式就別亂點,
不然你就放著過大概半個月到一個月再點,
尤其是一些keygen或破解過的遊戲執行檔(因為使用者非點不可XD),
如果那些程式是木馬的話,
大概半個月後也差不多有使用者回報給資安公司,資安公司也出pattern
去認出那個keygen了(例如他直接認出病毒的來源,所有去那抓毒的軟體一律去死這樣),
這時再點,如果一開始真的有人回報的話(對,有人回報的話)
那你的防毒軟體就會叫你別點
當然 還是有防毒軟體一看到keygen就直接擋,所以此時真的就看使用者的膽子了
敢點keygen,就要有中木馬的心理準備..XD
所有的流程裡,可能被上傳到資安公司那分析的也就只有那個keygen,
別再來什麼個人資料會被上傳了 謝謝
--
其實應該感謝sniffer,不然這個版也不會這麼熱鬧 一.一a
另外我後面是舉木馬的case,別告訴我亂點也可能點到virus,
我只是舉木馬當例子順便講一下keygen為什麼這麼黑
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.132.132.17
→ zvn:第4點我看不要了,不然被抓起來當patern就麻煩了,直接比對 05/06 21:23
→ zvn:file size有沒有變化好了XD 05/06 21:24
推 luciferii:"照理說資安軟體得偵測出全部的變形" 05/06 21:24
→ luciferii:現在哪家資安軟體廠商有這麼厲害的功力? XD 05/06 21:24
→ zvn:沒關係 我們比照sniffer大,給高標啦XD 05/06 21:25
→ zvn:講白了我也不覺得有哪家資安軟體這麼強 能找到大部份就很好了 05/06 21:25
→ zvn:照理說電腦裡能找到其中一個變形,且發現清不掉就知道完蛋了 05/06 21:26
→ Lordaeron:我好奇, 你們知道kaho從出現到防毒能正確的解多久了? 05/06 22:03
推 TonyQ:這篇其實講了蠻多東西的 給推XD 05/06 22:13
→ askeing:我一直有個問題…L大你一直說的kaho到底是什麼? 05/06 22:48
→ askeing:我搜尋google出來好像是個叫做夏帆的女生耶… (._.?) 05/06 22:48
→ luciferii:我只聽說過Kavo,而且也沒講得那麼嚴重 05/06 22:57
→ zvn:其實我也不知道kaho是啥,能給個link嗎?就像我說的,防毒軟體 05/06 23:04
→ zvn:有其架構上的限制,OS廠商不願意給防毒軟體太多的權力,很多東 05/06 23:05
→ zvn:西即使你知道他在那也不一定清得掉,就算OS上patch,也只能使 05/06 23:05
→ zvn:其失效 所以得先看你那個kaho(?)是怎麼做的才知道能不能解 05/06 23:06
→ zvn:另外,我真的不知道一個pattern要多久啊XDDD 兩星期只是我估的 05/06 23:06
→ iincho:看哪種pattern, 簡單無腦效用單一的幾小時, 一個可對多個的 05/06 23:14
推 luciferii:如果是 Kavo,那最原始版難搞是因為它直接針對幾大家AV 05/06 23:14
→ iincho:幾天到幾個禮拜都有可能,看你patern要搞多複雜.. 05/06 23:14
→ luciferii:廠打的,接下來感染方式多樣和變種又快,被針對的當然 05/06 23:15
→ luciferii:就倒霉。但我印象中那時裝小紅傘的就沒事可以正常防到。 05/06 23:15
→ zvn:原來如此!看soft_job長知識! 05/06 23:15
→ zvn:小紅傘使用者+1 XD 05/06 23:16
→ asimon:沒錯!! 難得看到Soft_Job這摸熱門 xDa 05/07 01:27
→ askeing:早期kavo的確似乎有針對大廠,加上微軟預設有開自動讀取 05/07 01:32
→ askeing:隨身碟大家戳來戳去就不停的感染,一台沒乾淨就容易又滋生 05/07 01:32
→ asimon:標準病毒的概念.. 只是把磁片換成隨身碟, 開機片換成 05/07 01:46
→ asimon:autorun 05/07 01:46
推 lwecloud:搞到現在某些防毒看到autorun.inf就先叫再說=_= 05/07 10:37
→ Lordaeron:我看一支找到解法的, 教解的人叫它kaho, 你們叫kavo,沒 05/07 11:10
→ Lordaeron:關係, 但重點是, 從出現到能由防毒來解,時差多久? 05/07 11:11
→ Lordaeron:既然有人敢嗆, 幹嘛不敢跟它賭呢兩位? 05/07 11:19
→ Lordaeron:ggg12345 及 zvn, 有信心贏就它賭下去啊 05/07 11:20
→ Lordaeron:在這嗆有什麼用? 贏了拿去損慈濟也好啊 05/07 11:20
→ Lordaeron:損-->捐 05/07 12:29
→ zvn:好問題 那請L大講一下小紅傘多久以後就能解吧 我也很好奇XD 05/07 12:40
→ zvn:我這篇文章已經沒提數字也把防毒軟體的極限寫出來了,你要接 05/07 12:41
→ zvn:力可以啊,但請搞清楚再發言 謝謝 05/07 12:41
→ Lordaeron:我的使用經驗kavo從出現, 到網路上有手動刪除到K公司能 05/07 14:04
→ Lordaeron:刪, 是一個月後的事了. 05/07 14:04
推 a1e:現在碰到可疑的東西都丟VM去試毒... 05/07 14:45
→ zvn:我是用小紅傘 所以沒清不掉的問題... 05/07 15:47
→ Lordaeron:不就是K 公司? 還是你的小紅傘不是K公司? 05/07 21:55
→ askeing:原來zvn一直在跟沒聽過小紅傘的人在討論… 05/07 22:03
→ zvn:小紅傘不是K公司 @@a 05/07 23:05
→ zvn:L大可以google小紅傘看看 我怕放上來有廣告的嫌疑,總之他的 05/07 23:06
→ zvn:個人版是免費的,detection rate跟功能是沒很好,但對我們這 05/07 23:06
→ zvn:種不會亂點或亂來的使用者來說還算夠用 05/07 23:06
→ zvn:另外K公司我沒用過 所以不清楚他的狀態如何XD|| 05/07 23:07
→ zvn:我是聽說卡巴吃很多資源然後很敢抓,但對我而言我需要的是吃少 05/07 23:35
→ zvn:資源,不用錢(?),detection rate不用特別好,讓我知道要重灌 05/07 23:35
→ zvn:或上網找工具解毒就好了 05/07 23:36
推 asimon:話說一直以來我的解法就是開個唯讀的空資料夾, 裡面再塞個 05/08 00:43
→ asimon:hello world檔案.. 然後把所有人的讀寫權限都拿掉 xD 05/08 00:44
→ asimon:(資料夾名叫autorun.inf) 的確一堆防毒軟體看到就亂叫 =_= 05/08 00:44
→ asimon:小紅傘跟卡車司機公司本來就不同阿 =__=a 05/08 00:45