→ leicheong:防毒軟體能偵測到的, 未必掃得掉... 05/07 13:28
→ leicheong:目前我還沒看到那款掃毒會很nice的回復被修改的系統檔啦 05/07 13:35
→ leicheong:有些甚至連被修改的registry也不會去還原... 05/07 13:36
→ zvn:防毒軟體是在他跑之前做scan的,因為它聽的是file system 05/07 13:37
→ zvn:driver... 05/07 13:37
→ leicheong:總之如果只想依賴防毒軟體幫你在中毒後擦屁股, 那觀念 05/07 13:38
→ leicheong:錯很大呢... 因為系統被改動而失去的功能沒回復不是防毒 05/07 13:39
→ leicheong:軟體的責任... 05/07 13:39
→ leicheong:你可以看一看我給的link, 就知道只是單純的把病毒殺掉 05/07 13:45
→ leicheong:並沒有完全解決問題... 05/07 13:45
應該說對有鎖的軟體只做出 keygen 給出通關的 key-number 這種單純
無毒keygen 很容易被補掛上額外病毒或木馬, 若是補掛上病毒就可藉防毒
軟體之手使之不敢執行, 這就可止住此 keygen 流通漫延. 所以補掛病毒
的當然是會知道那支毒的 pattern 者機率比較高.
如果 有毒keygen 不會感染有鎖的軟體, 只是自己起來唱秋, 買防毒軟體的
就可用防毒去掉 keygen被掛上的毒, 甚至完全整個移除 有毒keygen 及其
放進來的伙伴, 阻擋引伴就是暫拔網路線, 這些只是先後快慢的防毒移除動
作問題, 仍然可以續用解開鎖的軟體.
如果 keygen被補掛的是木馬, 這 木馬keygen 就是想入侵監控者的企圖比
較高.
現在因為有防毒舉報, 所以用了 keygen 的使用者, 自然是會想舉報 keygen
去受檢察以求心安. 所以, keygen 被補掛的部份就會被做出特徵, 不論木馬
keygen 是否感染給有鎖的軟體, 此 木馬keygen 因舉報被防毒軟體辨識出
來是必然的, 其特証與變種也會被註記出來. 因此 木馬keygen 會被防毒消
除, 但被感染的已解鎖軟體因使用者想用有可能不會同意被整個移除.(但是
否整個移除就看 keygen 是如何協助開鎖而定)
那麼, 木馬keygen 被舉報到防毒軟體公司後, 這支 keygen 裡的木馬特徵不
會被找出來嗎? 她會偷開那個 port 甚至去聯絡那個對象會不知道嗎?
使用者假設已得了 keygen 的 key-number, 就去除現有跑過 keygen 的開鎖
軟體, 從新取個有鎖軟體給 key-number 不就可以通關了?
所以 木馬keygen 會企圖不給使用者 key-number 但跟開鎖後的軟體共存亡.
不過, 防毒軟體公司是一定會得到舉報那支 木馬keygen 的. 但防毒公司會
當真去找 木馬keygen 的額外作用與特徵嗎?
若做了, 被感染的有鎖軟體一定會被掃出來, 賣有鎖軟體的一定很高興, 但
使用者一定大罵無能的防毒軟體.
所以, 關鍵的地方是防毒公司在舉報後, 一定知道木馬偷開了那個城門, 要求
使用者用防毒公司提供的 關城門 軟體就行了.
如果防毒公司無法解除 木馬keygen的開後門動作, 在知道後顯然是不可能的.
附在 keygen 的木馬來源不就呼之欲出?
同樣, 能提供 "防護罩" 執行 木馬keygen 或 破解軟體 的也是會受到使用者
歡迎. 在雲端執行 keygen 取 key-number 或 協助執行有感染的已開鎖軟體
又會是如何?
→ zvn:把keygen回報回去是有效 但keygen不一定跟開鎖後的軟體在一起 05/07 15:40
→ zvn:防毒公司應該是研究怎麼認出那隻木馬然後偵測出來,叫使用者不 05/07 15:41
→ zvn:要去按;但如果使用者真的按下去的話...這後果可能不是防毒軟 05/07 15:41
→ zvn:體可以處理的 @@ 05/07 15:41
防毒公司撿視 被補掛的keygen 之後絕對有能力知道這個 keygen 補掛的軟體
會幹出甚麼事, 肯不肯把被打開的城門關起來, 那是意願與動機的問題. 但防
毒軟軟體公司被認定無能解決問題也就必然, 這是涉及是否有競爭者出現的問
題. "不為" 是被視同 "不能" 也 !
→ zvn:在雲端做喔 基本上binary不會被上傳上去 因為上傳的時間太久 05/07 15:42
→ zvn:了 XD 你指的應該是要用使用者回報直接回報回去吧? 05/07 15:42
→ zvn:其實有時防毒公司拿到一隻毒 又真的不知道毒在哪有啥作用時, 05/07 15:43
→ zvn:就會準備一台空的VM真的給他感染下去XDDDD 05/07 15:43
→ zvn:另外 有防毒軟體做的事情確實類似你說的 他會在本機讓病毒真 05/07 15:44
→ zvn:的跑,但實際上可能是跑在防毒軟體準備的假環境裡 總之這部份 05/07 15:45
→ zvn:的攻防還滿精采的XDDD 05/07 15:45
→ zvn:呃 人家病毒可以把你的某個資料夾砍掉,或是改掉你的某個設定 05/07 16:01
→ zvn:但資安軟體不能沒事去backup你的那些設定 o.0a 05/07 16:01
→ zvn:而且防毒軟體的pattern應該是可以應付數十萬個病毒的吧~"~ 如 05/07 16:02
→ zvn:果每個病毒/malware都客製一隻restore function 感覺很可觀XD 05/07 16:03
→ zvn:最少目前還沒聽到有哪個防毒軟體敢這麼號稱就是了XD 05/07 16:03
keygen 只是個特例, 若說這種檔, 都很小, 談不上上傳的困難.
下載安裝 是這類事的特點, 木馬也就是開城門. 但防毒軟體跟
os 都搶著管 firewall, 若說是被打開了城門不知道, 那是很難
說得通的事. 至於設定更動, 老招也就是再生還原. registry
file 的備份從 win2k 時代就有做了, 不傷大腦的做法就是整座
硬碟還原. 防毒的能力讓使用者信心大降. 整個 malware 預防
也就從防毒公司移回至微軟手上. 至少, OS 相關檔案也可從下
載得到取用與補充.
→ zvn:呃 可能被改的不只reg key@@ inifile或其他dll被偷寫掉都有可 05/07 18:03
→ zvn:能;malware預防應該是OS跟防毒軟體公司都得做才對XD 05/07 18:04
→ zvn:理論上如果OS夠萬能的話,那security vendor也差不多沒飯吃了 05/07 18:04
→ zvn:hard disk 還原,個人會覺得這是OS的feature 05/07 18:05
→ zvn:防毒軟體講白了只是個軟體,架構上沒這麼大的power @@ 05/07 18:05
→ zvn:另外 virus預防也是OS跟security vendor都要做的;就像M$得給 05/07 18:07
→ zvn:出新的patch,把洞給修掉一樣@@ 05/07 18:08
→ ihon822:包山包海的防毒軟體你做出來的話你覺得要賣多少錢? 05/07 18:37
關掉或提醒使用者關後門不是太難的事.
微軟的防毒只要正版OS, 目前還不要錢.
微軟要跳進來自己做, 總是有原因的, 病毒讓其形象大壞是原因之一.
但總覺得她就是想要管好 firewall, 好讓自己容易更新,這使得舊
driver 通通失效.
→ zvn:其實M$內建的firewall是最爛的,洞一堆(小聲) 05/07 23:08
→ zvn:另外 也不一定要新開port啦,現有的service像是以前很有名的 05/07 23:08
→ zvn:網路的芳鄰,就是virus攻擊的其中一個點XD 05/07 23:09
→ zvn:M$跳進來做的原因跟這比較無關 這是因為M$想要更進一步的守住 05/07 23:12
→ zvn:他的windows的地位的手段之一 05/07 23:12
→ zvn:一部份原因就是你說的,一直中毒讓他名聲很爛 05/07 23:13
→ zvn:倒不是現在防毒做得太差,不過為了windows的安全,他是需要做 05/07 23:14
→ zvn:一個免費的防毒送給所有的windows users沒錯 05/07 23:14
→ zvn:關後門的話,一般木馬幹掉,你的電腦沒程式接應開port收毒 05/07 23:15
→ zvn:或做壞事的話 其實就沒事了 因為一般firewall是指定某個程式 05/07 23:15
→ zvn:可以用某個port 但這個程式(malware)已經不見了 所以不用管了 05/07 23:16
→ zvn:而使用系統漏洞的,要補那個洞就是上patch啦~~ 沒其他方法XD 05/07 23:16
木馬就是開城門的, 若幹掉了木馬也不關木馬開的城門, 只宰木馬還不是城
牆洞開, 難怪毒一直進來, 防毒軟體是這樣做業績的嗎? 所以掃完毒再不續
繳保護費, 就整個牆都是木馬借使用者的手正常程序開出來的洞, 造成隨時
中毒? 用了防毒以後若不再續繳費就變成死得更快?
開城門 跟修補先天有洞的os程式 做 patch 是兩碼事吧?
推 asdfghjklasd:我一直很懷疑,一個可以退休的資工教授跟後備玩 05/09 02:00
→ asdfghjklasd:到底是想要做什麼呢?! 05/09 02:00
推 luciferii:看版上發言你會以為他是已經退休很久的教授.... 05/09 03:15
推 luciferii:這最後補的一段也請容許我再補呃一下.....XD 05/09 03:20
→ TonyQ:有什麼關係呢,覺得他說的地方不對就回文反駁啊。 05/09 09:02
→ TonyQ:教授也好 不教授也好,願意分享自己知識的人,總是比不願意 05/09 09:02
→ TonyQ:分享來得好;即使是不那麼正確的,理由是沒有人一開始就都是 05/09 09:02
→ TonyQ:正確的,都是討論/學習來的,即使有不正確的言論,直接辯駁 05/09 09:03
→ TonyQ:即可。 05/09 09:03
→ TonyQ:真理是越辯越明的,共勉之。 05/09 09:05
亂問好像會惹禍? 意思是對你, 我們很清楚喔! 擺明是你明我暗, 看著辦?
問 來歷, 動機? 這太像 X竹區的特色囉! 令人心生害怕.
zvn 回的很好, 不知就說不知了! 非常謝謝!
不過, 疑問依舊是疑問! 不可以存疑? 不可以發問?
→ TonyQ:確保沒有人誤解我的意思還是回一下,我的意思是發問很好, 05/09 11:04
→ TonyQ:但問的最好是技術,而不是動機或資歷,那對討論無直接幫助。 05/09 11:04
→ TonyQ:上面那段推文講的跟 ggg12345 一點關係也沒有。;) 05/09 11:05
謝謝版主的仗義.
→ zvn:洞分兩種,OS漏洞由OS patch補;由木馬開出來的洞得在本機端 05/09 11:19
→ zvn:有人接應才行,重點是把本機上接應的那隻木馬移掉 05/09 11:19
→ zvn:暫時沒想到其他情況;damage recovery好像不是防毒軟體該做的 05/09 11:20
→ zvn:因為就架構上,防毒軟體不可能做到完全的復原,主要是病毒可以 05/09 11:21
→ zvn:打到很底層去 05/09 11:21
→ zvn:要防毒軟體真能這麼強 都比OS還厲害了XD 05/09 11:21
如果只是關防火牆的洞, 技術上可不可能? 至少能警示給使用者吧!
※ 編輯: ggg12345 來自: 140.115.5.14 (05/09 12:36)