官方網頁的公告：http://x-solve.com/blog/?p=63 應該可以用到八月底吧，我猜。 不過請注意，無法用於 64Bit系統以及 vmware上面。 嘆~ -- ok 以上是正經的文章，以下的純屬個人牢騷... (當然也是因為全梭了雅婷所以要來賺一點...) 這個 X-solve團隊我還蠻欣賞的， 其中一個原因是絕大部分的開發者都是台灣人， 年紀應該都不會超過 35 歲。 英雄好漢來自許多不同的學校、工作單位， 他們也是在資訊安全領域打滾了數年， 發現到一些現有資訊安全維護的盲點與隱憂， 所以決定跳下來寫軟體。 不過因為安全性與商業上得考量沒辦法完全技術公開給大家用。 唉...... 我想說得資訊安全盲點與隱憂，主要有兩個層面， 其中一個是國家資訊安全的問題。 現在我國政府使用的資訊系統，很多個人電腦用的是XXX的系統， XXX 是外國廠商，技術層面我們根本無法掌握， 所以只能每次被爆破之後才裝Patch.... 但是，就連資訊安全的相關維護軟體，仍大都是外國軟體的天下。 我不了解 trxxx 公司內部的情形，只是他們的軟體效率我只能搖頭。 我們既沒有資訊系統維護能力，也沒有防護軟體開發能力。 這註定只有被打趴在地上的份阿！ 終於，有人願意挺身而出，成立一個我國自有的資安軟體開發公司， 所有技術 100% 為我國所有。 第二個隱憂沒有上面那個嚴重，但是還是要讓人嘆氣。 現在市面上掃毒軟體一大堆都是透過 檔案模式辨識機制來達成的。 這種防護機制的罩門跟規避方式大家都知道：變體技術與新型態病毒。 更慘的是，這種防護技術都只是在 『檢視慘烈攻擊後的殘破家園』 例如說重了檔案型病毒之後，可能會發現硬碟中數百個執行檔被感染了.... 另外一些很奇怪的掃描結果， 例如說 『 iexplorer.exe 試圖存取非法網路資源』 要不然就是 一些貧乏的技術陳述， 例如像是 hijackthis log ，只告訴你 process list/registry/service 他們都只跟你說 喔喔喔喔喔喔喔，你的電腦被人XXXXX了！！！ 但是我需要知道的是 為什麼？ How ？ 因為逝者已矣，來者可追。 唯有知道攻擊途徑與方法， 我們才能有效防範新的攻擊！！ 喵的勒，我當然知道 iexplorer.exe 正在執行惡意的行為， 所以我可以把 Internet Explorer 砍了嗎？當然不行阿！ 你如果聰明一點，你會知道並不是整個 IE 都是爛的，會發生這樣通常是 IE 被植入某個惡意的 plug-ins， 如果再聰明一點，就知道Microsoft提供一個 光明正大的 IE 外掛方式， 叫做 BHO (Browser Helper Object)。 當然你也可以知道 BHO 的掛載方式是 Registry 的某個 Key。 當然，你若夠厲害，你也會知道，可以不透過 BHO，照樣把 外掛 塞進去 IE 內，這個方式叫做 DLL Injection。 很不幸的事情是，大部分的防毒軟體都只知道 BHO ， 你知道我知道獨眼龍也知道。那到底有誰能夠在10分鐘贏得300萬美金？ 當然是透過鮮為人知的 DLL 注射阿。 如果你的電腦被這樣搞，檔案型防毒軟體可能知道嗎？ 不可能！！因為 DLL 檔案可以變形，檔案特徵根本拿她沒皮條。 HijackThis 有可能知道嗎？不可能！根本沒有獨立的process，怎麼知道 svchost.exe 有沒有被塞入 奇怪的 DLL。 遇到這種攻擊，就只能重灌，沒其他方法。 另外更慘烈的是 Rootkit 攻擊，版上有跟這種東西交手過的應該都知道 那種痛徹心肺的感覺，用盡一切軟體，就是刪不掉，就是會重生。 區區一個掃毒程式，動得了RootKit嗎？ 如果以後的病毒惡意程式都朝向Rootkit發展，那幹麼還要裝盜版的防毒軟體， 反正裝了也查不到，查得到也刪不掉！！！ 這就是第二個隱憂。 我不是誇說 Archon Scanner 多有效，但是他們用截然不同的角度來 處理這樣的威脅。 他們使用的是 行為模式辨識技術。 原理很簡單，就是掃描過程中，去查看每個process的行為。 例如說他們會檢查 IE 的每一個 DLL 檔是不是正常被載入、 檢查 Process 內有沒有刻意隱藏的 thread 、 檢查執行中的 process 有沒有奇怪的網路行為(例如raw socket)、 等等很多的方式。 從 Hacker 的角度，去思索可能有那些奇怪的攻擊行為， 然後針對這些攻擊行為，建構一套辨識與區分的方法。 他們不是從惡意攻擊後的結果來辨識攻擊， 而是從惡意攻擊的行為與意圖來辨識。 就好像 偵探推理一個案件，不能只從現場的結果來推想， 更要能夠模擬兇手的動機與目的。 我認為這是 Archon Scanner 優於一些現有掃毒軟體的地方。 當然，因為我用了不少，所以也知道一些缺陷。 畢竟這還是一套很新的軟體，還沒有經過廣泛的市場測試， 此外其辨識能力仍沒有經過嚴苛的 in fields 測試，實際口碑與效能仍是未知。 不過，我還是希望願意看到這篇文章此處的諸位， 想想看資訊安全的價值與深耕本國軟體產業的重要性。 謝謝各位～～～ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.68.32.56 ※ 編輯: kukulcan 來自: 219.68.32.56 (08/06 02:53)