作者luciferii (路西瓜)
看板Soft_Job
標題Re: [技術] 從AV-Comparative看統計數字可以怎麼利用
時間Sun May 8 21:19:13 2011
※ 引述《ggg12345 (ggg)》之銘言:
: 再說如何包殼, 她總要自己解開來跑, 是必然能解的.
呃...
: 應該說對有鎖的軟體只做出 keygen 給出通關的 key-number 這種單純
: 無毒keygen 很容易被補掛上額外病毒或木馬, 若是補掛上病毒就可藉防毒
: 軟體之手使之不敢執行, 這就可止住此 keygen 流通漫延. 所以補掛病毒
: 的當然是會知道那支毒的 pattern 者機率比較高.
: 如果 有毒keygen 不會感染有鎖的軟體, 只是自己起來唱秋, 買防毒軟體的
: 就可用防毒去掉 keygen被掛上的毒, 甚至完全整個移除 有毒keygen 及其
: 放進來的伙伴, 阻擋引伴就是暫拔網路線, 這些只是先後快慢的防毒移除動
: 作問題, 仍然可以續用解開鎖的軟體.
呃...
: 所以 木馬keygen 會企圖不給使用者 key-number 但跟開鎖後的軟體共存亡.
: 不過, 防毒軟體公司是一定會得到舉報那支 木馬keygen 的. 但防毒公司會
: 當真去找 木馬keygen 的額外作用與特徵嗎?
: 若做了, 被感染的有鎖軟體一定會被掃出來, 賣有鎖軟體的一定很高興, 但
: 使用者一定大罵無能的防毒軟體.
呃
: 所以, 關鍵的地方是防毒公司在舉報後, 一定知道木馬偷開了那個城門, 要求
: 使用者用防毒公司提供的 關城門 軟體就行了.
呃
: 如果防毒公司無法解除 木馬keygen的開後門動作, 在知道後顯然是不可能的.
: 附在 keygen 的木馬來源不就呼之欲出?
呃
: keygen 只是個特例, 若說這種檔, 都很小, 談不上上傳的困難.
: 下載安裝 是這類事的特點, 木馬也就是開城門. 但防毒軟體跟
: os 都搶著管 firewall, 若說是被打開了城門不知道, 那是很難
: 說得通的事. 至於設定更動, 老招也就是再生還原. registry
: file 的備份從 win2k 時代就有做了, 不傷大腦的做法就是整座
: 硬碟還原. 防毒的能力讓使用者信心大降. 整個 malware 預防
: 也就從防毒公司移回至微軟手上. 至少, OS 相關檔案也可從下
: 載得到取用與補充.
呃
: 關掉或提醒使用者關後門不是太難的事.
: 微軟的防毒只要正版OS, 目前還不要錢.
: 微軟要跳進來自己做, 總是有原因的, 病毒讓其形象大壞是原因之一.
: 但總覺得她就是想要管好 firewall, 好讓自己容易更新,這使得舊
: driver 通通失效.
呃
本篇目的本來是要吐槽g老師整串在狀況外的發言
但因為要打太多字,而且知道有長輩在看版,還是縮回來了....
我不知道最早是誰提出 AntiVirus 會把 keygen 掃掉的前提
但就我淺薄的經驗作點猜測
我印象中, keygen 不是防毒廠商會主動掃除的共識,這個前提有點怪
所以你的 keygen 會被掃掉
主要是因為
1. 它是假的,或它真的帶毒
2. warez/keygen/crack 的程式寫作時,本來用的方式就跟病毒可能相同
現在防毒不是真的只呆呆在作比對完全相同病毒碼
當你用到有冠上一些用 heuristic 之類眩目技術名稱的行為偵測式防毒時
這些軟體就會被掃掉
當然 crack 又比 keygen 機率高一點
3. 可能真的有防毒廠牌是把 keygen 當成一類毒在掃
但應該都是視為
potentially unwanted application 或 illegal甚至 Hacker Tool之類的類別
可以選擇不掃瞄這類程式
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.121.3.61
→ ggg12345:李大統領長輩喔?看誰說的:現在掃毒根本是懶的解那麼多種 05/09 00:10
→ ggg12345:看到某些Packer和不認得的 Packer 就直接擋了. 05/09 00:16
→ ggg12345:不管是變成甚麼殼或用self-modify-code,轉了特徵還是特徵 05/09 00:30
→ askeing:推文第一行讓我好奇長輩是在說誰了… 05/09 01:15
推 asimon:李x同? ((guess 05/09 02:43
→ luciferii:李家同教授的話...應該更看不懂吧...XD 05/09 03:15
→ Winggy:基本上絕大部分正常的軟體是不會包那麼多殼的 05/10 21:34
→ Winggy:所以依照 cost/performance 的角度來說 只要包超過一定層 05/10 21:34
→ Winggy:或是某些惡名昭彰的 packer ... 大膽檔掉出問題的機率不高 05/10 21:34
→ Winggy:這也算是某種啟發式防毒啦 (反正就是一堆行銷術語而已) 05/10 21:35