不笑的老K 說: | 2008/06/07 at 下午 10:53.33 | 編號:38289 |
NOD 與 AVK 的排名這麼前面?老實說我有點驚訝…
對於台灣地區的非企業用戶來說(特別是線上遊戲族),其實我比較推薦 avast!,因為大部分以偷竊線上遊戲帳號密碼、信用卡號為目的的木馬或病毒,百分之九十以上來自中國大陸,而這些來自中國大陸的木馬大部分(或許是百 分之百)都無法在散佈第一週內被以上防毒軟體偵測到。
既然無法被偵測到,那麼為何還要推薦 avast! 呢?答案在於免費版的 avast! 提供了「網頁瀏覽防護」功能,而有半數以上的大陸木馬都利用 IE 的瀏覽器弱點或 BHO 來對目標電腦進行感染,雖然 avast! 可能無法找出已經被丟到硬碟上的木馬,但是卻有辦法在第一時間內阻斷使用瀏覽器漏洞為管道種植木馬的網頁攻擊;以大陸黑客最有興趣的「巴哈姆特 - 魔獸世界哈啦版」為例子,個人統計 avast! 攔截木馬輸入動作的有效頻率為 99%。
免費防毒軟體的冠軍 Avira AntiVirus 也具有網頁防護的功能,但是這個叫做 WebGuard 的功能只有在 Premium 以上版本才有提供,再加上 Avira 官方對於亞洲地區的病毒驗證始終沒有列為首要任務(老實說幾乎每個防毒軟體都這樣),以致於防毒/防木馬效果在網路華人圈裡始終沒有該有的表現。
換言之,線上遊戲玩家在尋覓一套優秀的防毒軟體前,都應該先找一套合格的 Web Shield 來確保網頁瀏覽時的安全。以上推論可由實際案例來驗證,例如前不久智凡迪官方通訊鎖伺服器故障導致爆發盜號潮,其中安裝 avast! Home 以及 Avira AntiVirus Premium 版本的用戶被盜的數目相對較低即可證明。
除了針對瀏覽器進行防護以外,剩下來 50% 左右病毒來自於網路攻擊、即時通訊軟體、電子郵件附件、P2P 下載、以及不明軟體(例如序號產生器),對於這一類惡意軟體的防護,除了仰賴掃毒軟體的即時掃描功能以外,更應該注意的是對未知病毒的偵測功能,因為大部 分的防毒軟體都無法跟上來自中國大陸木馬的更新速度,不過很遺憾的事情是,截至目前為止還沒看見哪一套防毒軟體的未知病毒/木馬檢測是具有標準以上表現 的。
防護未知病毒/木馬,目前個人認為最好的方法是利用 HIPS(Host Intrusion Prevention System),但 HIPS 軟體的應用成效強烈依賴兩大條件,其一:必須在 Clear System 下建立完整的程式運作紀錄,其二:使用者必須具有這方面的專業知識,換句話來說,就等於是將防毒軟體的智慧型未知病毒檢測,轉以人工檢驗來進行;如果用戶 本身不具備程式運做的基礎知識,那麼 HIPS 除了煩人以外大概形同虛設。
個人目前用過最滿意的免費 HIPS 軟體,當數 Comodo Firewall 3.x 版以上所包含的版本,被此軟體攔截到異常運作的軟體(例如某 P2P 軟體會主動 Hook keyboard 與 I/O,此軟體前一陣子重灌狂人才介紹過),經過沙盤執行簡單驗證(可利用 Sanboxie、Filemon、Regmon 等軟體輔助),個人認為此軟體有九成以上的可能性為木馬或鍵盤側錄軟體,並予以排除在客戶推薦軟體以外。根據個人經驗,避免安裝由 HIPS 與防火牆檢驗出有異常動作的軟體,再加上適當的防毒與瀏覽防護軟體,幾乎可以完全確保 99% 以上的電腦個資安全。
以上為個人經驗,僅供參考。
P.S.幾乎八成以上的 keygen 都含有木馬,但是超過一半以上防毒軟體掃不到。
P.S.來自中國大陸的網路遊戲 BOT 到目前為止還沒見過哪一套沒木馬的。
P.S.這裡有一份由 Matousec 製作的防火牆軟體評鑑(Firewall Challenge),最後更新日期是 2008/MAR/18,各位網友可以參考一下,同時也建議重灌狂人專文報導: http://www.matousec.com/projects/firewall-challenge/results.php
不同意 說: | 2008/06/07 at 下午 11:42.16 | 編號:38297 |
免費防毒軟體的冠軍 Avira AntiVirus 也具有網頁防護的功能,但是這個叫做 WebGuard 的功能只有在 Premium 以上版本才有提供,再加上 Avira 官方對於亞洲地區的病毒驗證始終沒有列為首要任務(老實說幾乎每個防毒軟體都這樣),以致於防毒/防木馬效果在網路華人圈裡始終沒有該有的表現。
1.WebGuard可有可無 因為所有瀏覽時的temp都會經過掃瞄
2. Avira 官方對於亞洲地區的病毒驗證始終沒有列為首要任務以致於防毒/防木馬效果在網路華人圈裡始終沒有該有的表現。
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
這個有証明嗎???
大大有測過送樣本後 avira多久處理嗎???
你的意思是說亞洲送過去的樣本都不處理嗎???
看一下上面的測報 avast排在第几位
Lawliet 說: | 2008/06/07 at 下午 11:46.06 | 編號:38300 |
@不笑的老K
你似乎不太了解這次測試內容,NOD32的虛擬機目前還是業界領先
AVK也由於使用AVAST引擎,成績還算不錯,這兩個部分沒有衝突
Lawliet 說: | 2008/06/07 at 下午 11:50.33 | 編號:38302 |
@不同意
他說的不完全正確,AVIRA處理亞洲樣本很積極
而且Web Scan也不像他說的可有可無,而是有必要的
經過web broswer解析後所產生的動作在掃瞄temp之前
如果威脅樣本經過解析之後下載的新樣本,是無法被發現的
那就被過了,所以Web Scan絕對不是可有可無!
不笑的老K 說: | 2008/06/08 at 上午 12:37.50 | 編號:38313 |
To silence
Avira AntiVirus 可以與 avast! 與並存,大前提是必須將 avast! 的標準防護模組關閉;個人不建議同時安裝 Avira 與 avast!,因為同時安裝常導致系統假死。
–
To 不同意&Lawliet
我不推薦 Avira 的理由並不是因為「效果不佳」,而是因為「缺乏網頁防護功能」,事實上,大部分的大陸木馬都無法被 Avira 或 avast! 偵測出來(上面報告中評鑑的軟體幾乎都一樣);既然無法被偵測出來,那麼在網頁上直接攔下來就好了。
來自網頁上的木馬有兩種,第一種是「下載」,這種東西你情我願,你下載了、你執行了、所以你中木馬,防毒軟體掃不到是這個用戶「該死」;第二種是 利用瀏覽器弱點主動對閱讀網頁的用戶發動攻擊,這時 Web Shield 的有跟沒有的差別就很明顯了;其實 avast! 的網頁防護也只提供差強人意的防護而已,但是總比「什麼都沒有」來得安全,使用 avast! 與 KAV 且常常逛巴哈的人對此應該有深刻的體認。
以上,「掃描從網頁下載的東西」與「防護網頁內嵌攻擊」是不一樣的兩件事情,在選用軟體的時候必須分清楚。
關於防毒軟體驗證病毒回報的速度,在我經驗中反應速度最快的是趨勢科技,通常三天以內就會列入 Virus pattern 中,但是 PC-cillin 的效能實在令人不敢推薦;回應速度次快的是 Kaspersky,通常三到六個工作天就會有回應,不過 KAV 是收費軟體。
其他如 Avira、avast!、AVG 等防毒軟體,個人經驗大約 7~14 工作天會完成檔案驗證的工作,但是有一大堆的「木馬」在這些公司的眼中並不在防毒軟體的射程以內,例如前一陣子在巴哈魔獸哈啦版上被放置的 QQ123 木馬,到目前為止都沒有進入任何一家上列防毒軟體的病毒資料庫中,距我回報病毒標本給 avast!、Avira、KAV 已經超過一個月以上,但是你卻可以使用「大陸製」的木馬清除大師以及瑞星殺毒軟件偵測出來;我猜測這可能跟亞洲地區用戶「Using without feedback」的使用習慣有關,即使我回饋了木馬樣本給防毒軟體公司,但是該公司仍有可能因為「只有一個回報案例、且該樣本不具備感染性」,而將該樣 本排除在掃描範圍外。
那麼使用大陸製的防毒軟體是否可以有效防治大陸地區氾濫的病毒與木馬?答案應該是肯定的,那麼為何不推薦大陸防毒軟體?理由有二:
1.大陸製防毒軟體的穩定性與效能多半不佳。
2.若干大陸防毒/防木馬軟體本身亦有疑似間諜軟體的動作。
總而言之,大陸人寫木馬的速度真是又多又快,簡直就是把寫木馬當作職業,在沒有一家以大陸為主要營業地區的國際防毒軟體大廠前(我想也不太可能會有),免費防護方案只能由各個軟體拼湊出來,完整的整合解決方案可能還得等等。
lionist 說: | 2008/06/08 at 上午 1:43.59 | 編號:38327 |
呃,基本上,在對岸本土不會視為木馬的政府監控軟體,在國外版本是會被抓出來的……..
在小說網站看常上大陸小說站的魔人測過,蓄意中毒後發現打特定字眼去搜尋引擎會有封包傳到北X/X京公安局的IP,我也抓出過,在第一次登入大陸論壇的時候………..
可惜網頁沒有COPY下來….
7勝什麼時候到手ㄚ 說: | 2008/06/08 at 上午 1:44.35 | 編號:38328 |
就我了解 AVAST 在大陸也吃不開
還是強力推薦 AVIRA
重點是在防毒軟體之外多加上一套HIPS防護
EX : AVIRA + ThreatFire
EX : AVAST + ThreatFire
使用者學習 HIPS 將是個趨勢
如果你還會看 SREng 報表
配合 ICESWORD 查殺
更棒 !
FireFox 使用者千萬千萬要記得加上 NOSCRIPT
不笑的老K 說: | 2008/06/08 at 上午 2:52.49 | 編號:38335 |
To silence
直覺上…,應該是「使用 Avira 的即時掃描功能+acast! 的網頁/電子郵件防護」,把 Avira 當做手動掃描軟體來用,老實說我沒有試過(這樣有點委屈 Avira 不是嗎?);如果 Avira 的 core service 沒有在記憶體裡面執行,我想應該是不會有系統當住的情況。
–
To Lawliet
『WebGuard可有可無 因為所有瀏覽時的temp都會經過掃瞄』這句話不是小弟說的,這是「不同意」的意見,請明察。
另外,如果在免費軟體這個前提下推薦防毒軟體的話,我會推薦 avast!,原因上面說過了;如果在收費&免費軟體的前提下,我會推薦 KAV,因為 KAV 有中文介面;如果是我自己使用話,我會使用「Avira + ComodoFirewall + Firefox」這個組合。
Avira AntiVirus - 最強的免費防毒軟體
Comodo Firewall - 最棒的防火牆/HIPS軟體
Firefox - 最好的網頁瀏覽器
OS: 跟我現在NB用的一模一樣ㄝ!
Lawliet 說: | 2008/06/08 at 上午 2:59.07 | 編號:38336 |
@不笑的老K
Web Scan根本就不是你說的那樣,掃瞄從網頁下載的東西跟”防護網頁內嵌攻擊”一樣都是先經過Web Scan!還是你認為有Web掃不到,而及時監控掃得到的東西?
而上報反應速度,這五六年來一直都是Kaspersky居於領先,趨勢的回報速度可差遠了。。。很懷疑你上報的次數是否可用來當作一個大概的基準?
正常上報Kaspersky通常在0~2個小時就會入庫了,Kaspersky一天更新48次特徵庫,怎麼比趨勢也排不到前頭,BitDefender一天也更新24次特徵庫,入庫時間也比趨勢快太多了,基本上6~8個小時也就入庫了
而AVIRA基本是6小時到1天內就會入庫了,你所說的7~14天太誇張了,這些廠商的效率根本沒這麼差!
事實上我很懷疑你上報的方式,你說的這幾家廠商根本沒你說的那麼慢!
可否說說你上報的方式讓大家知道一下?因為你的使用經驗與事實有不小的落差。。
還有請你別一竿子打翻一條船,大陸的防毒軟體才沒有你說的都不穩定與都具有間諜行為
而關於沒有國際大廠?!怎麼會沒有呢?
賽門鐵克跟趨勢科技,還有Kaspersky都在大陸設了實驗室,而AVIRA的結構探測器也是為大陸的樣本而來,你都不曉得嗎?
另一個CA不就是專攻大陸的國際大廠?
而你所謂的完整方案不是早就有了嗎?
不笑的老K 說: | 2008/06/08 at 上午 3:53.38 | 編號:38340 |
To Lawliet
我有遇過很多次「即時掃描掃不到,但是可以被 Web Shield 擋下來」的東西,例如利用系統 GDI 弱點下載木馬到電腦中的網頁攻擊,是透過用戶開啟夾帶程式碼的 .jpg 檔案來進行,就我所知利用這個弱點進行攻擊的黑客數目不少,通過這個管道下載到硬碟中的「木馬」幾乎都掃不到,但是透過 Web Shield 或是 Windows Update 的更新檔來防治這個「瀏覽器弱點」卻是出乎意料之外的容易(在無法使用 Windows Update 的電腦上會更加明顯)。
總之,木馬的種類有成千上萬種,怎麼掃都是掃不完的,但是瀏覽器的漏洞卻蠻容易數完的,也因此 avast! 與 KAV 的網頁防護功能成效出乎意料之外的好。
關於 Virus Reporting 的驗證速度,我也曾懷疑趨勢科技的檢驗順序是否跟送檢人的身份有關係(例如提交範本的人是某重要政府行政單位,檢驗的速度就會特快?),我提交樣本給趨勢所使用的信箱是某縣級行政單位的資安組,或許會因此比較快也說不定?
關其他廠商的驗證速度,我都是以自己提交的樣本為準,各家病毒碼的更新速度不在我的陳述範圍內。就 KAV 來說,我提交的樣本還沒有「三天就 checkin」的,多半是要三天以上,否則就是根本沒有進病毒資料庫(換句話說 KAV 原廠不認為這是病毒),我的經驗就是這樣,不知道您的經驗是如何?
其他如 Avira 等免費防毒軟體的驗證速度,大致上都比 KAV 慢,我還曾經遇到過 avast! 在將近半年後才將我所提交的木馬放進資料庫中;根據趨勢科技在探索頻道上的專題報導,趨勢全球防毒中心每天都要處理上萬筆病毒樣本,我想 KAV 應該只會多不會少,不過相對於超過萬筆樣本上傳量,這些防毒軟體每天所新增的病毒碼數量卻不成比例,我想防毒軟體公司在篩選樣本時,一定有自己的標準(我 猜應該是提報數與病毒行為),若干危險性較低以及提報數較少的木馬可能會因此而延後或不予處理也說不定,這裡若有業內人士,不妨說說您的專業意見。
夜深了,我想您沒有看清楚我的文章,我要的「完整方案」必須是『免費』的,目前看得到的完整方案幾乎都是收費的,不是嗎?我想您應該手中有一套免費的完整方案可以與大家分享,不妨在此提供給大家。
最後,對於「大陸本土製」的防毒軟體,關於使用經驗方面的問題是十分主觀的,我建議自己裝一套試用幾天看看,就我個人來說,觀感與我們常見的這些防毒軟體是不太一樣的,大家可以試試,以下提供兩套(注意!不是推薦):
江民防毒軟體(台灣由軟體王代理)
http://ec.softking.com.tw/sale/index.asp?id=3865
金山毒霸2008(想買的話,可以用電匯購買)
http://www.kingsoft.com/products/soft/
北京盛世京天科技木馬清除大師2008(可以掃到很多大陸才有的玩意)
http://www.softking.com.tw/soft/clickcount.asp?fid3=24525
是非曲直,我想用個幾天應該就很明白了,想嘗鮮的朋友建議在試過以後重裝 Windows,因為有些軟體會留下一些砍不掉又無法解安裝的怪東西。
Lawliet 說: | 2008/06/08 at 上午 5:17.39 | 編號:38345 |
你的遇過很多次即時掃描不報備Web Scan擋下來的應該是Script腳本吧?
Script病毒一般必需在web broswer裡運行才有作用,出了web broswer是沒有威脅性的
有些AV會有Script腳本偵測引擎與Real Time Engine分開,但這基本上不是你所說的問題,都是同一個AV難道Web Scan就比較優秀嗎?當然不是,差別在於策略不同而不是能不及!
很多廠商包括趨勢,對於企業用戶的處理優先權式高過家庭用戶的,但不包括Kaspersky,AVIRA,BitDefender等廠商!
排除分析師失誤的問題不談,通常Kaspersky認為不是病毒的東西,絕對不是什麼對系統有害的軟體,其它廠商就不一定了,報報註冊機,甚至是中文化等是常有的事情,但你能確定這些被報的東西真的都有問題嗎?
AVIRA或者是Kaspersky,Panda的上報處理速度都非常快,尤其是Kaspersky跟Panda上報後過沒幾分鐘就回覆的例子也不在少數,但絕大部分在都0~6鐘頭內完成。
而特徵碼的數量不是依今天處理了多少有效樣本就增加多少數目!
而是根據特徵植判斷,有些有家族性的就取基因特徵,好的基因一個特徵值就可以偵測10000+的變種,觀察特徵庫數目的大小沒有意義,每家AV的算法都不 一樣,更沒有你所說的添加比例不一的問題,至於業內人士。。。我就是業內人士啊。。不是業內人士怎麼能夠繁體化AVC的這份報告?
而完整方案確實存在,但是我要發佈也是發在我自己的Blog,發在這裡不太適當。。而且還是在讀者回應裡。。
跟你說了。。這些大陸軟體根本沒你說的這些問題,有問題的那些令當別論
但是金山跟江名確實不是你所說的那樣,如果你判定戴有間諜行為的理由就是移除後有東西殺不掉,那你就大錯特錯了。。
這些東西很多都是kernel level的,外國的AV本身無法把自己玩”完整”移除的也有,不是像你想的是說留些東西當間諜,而是技術上無法完全移除程式本身
也就是因為這個原因,大部分的AV都有提供專用移除程式
不笑的老K 說: | 2008/06/08 at 上午 6:46.31 | 編號:38348 |
To Lawliet
不好意思不知道您是業內人士,失敬之處請多原諒。小弟只是某獨資小公司的小技師,還有很多地方需要您多多指教。
–
關於「網頁防護」與「即時防護」是有一點點差別的,同樣是將檔案下載到硬碟中掃描,但是在作用原理上仍有些不同,以下簡單解釋:以上面的 GDI 弱點為例,這並不是所謂的 Script 攻擊(當然,數目上 Script 佔多數),只要用戶用 IE 開啟加料過的圖檔,黑客就可以利用 user32.dll、gdi32.dll…等系統元件的 API,將 jpg 檔案中的一小段程式碼複寫到系統程式中,並執行若干非用戶允許的動作,例如「以 IE 開啟某張圖片(被侵入)→ BITs 被開啟並背景下載遠端某程式到硬碟中」,以上動作完全不涉及 script engine,純粹是 explorer.exe 的漏洞,詳細請參見微軟知識庫:
http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
上述攻擊行為對 Avira AntiVirus Free 來說是完全無法阻止的,因為 iexplorer 已經先「顯示」了圖片,然後才將圖片放到 temp 中,此時系統已經受到破壞,但是 Avira Premium 卻可以有效遏止,原因就在於 Premium 版具有 WebGuard 功能;以 avast! Home 為例,avast! 會在本機的 port 12080 建立一個穿透式 proxy 來攔截所有聯繫 iexplorer.exe 的網路連線,換句話說,所有的檔案在進入 IE 的有效記憶體區域前,就已經被掃毒軟體以「針對網頁」的方式掃描過了;以上是 WebScan 與 RealtimeScan 的微小差異。
其次,大部分非針對瀏覽器弱點進行掃描的掃毒引擎,多半不會掃描包含 SQL injection 的網頁檔案,有些甚至將 html 檔案 excluded 於掃描範圍外以增進掃效率,其原因乃是因為掃描腳本攻擊並非依賴傳統的病毒特徵碼比對,而是檢測特定的「程式行為」。
我們所常用的防毒軟體如 Avira、avast!、AVG 等都有網頁防護的功能,Avira 的叫做 WebGuard,AVG 的叫做 SafeSurf,只不過只有 avast! 是免費提供,其他都是付費版本才有此功能。我到現在還沒找到「免費又好用」的網頁防護軟體,大部分都被列為收費防毒軟體的眾多功能之一。
–
測試防毒軟體廠商驗證樣本規則的方式有很多,最簡單的方法是「自己寫一個,自己提報」,小弟自行撰寫過一個自認為是病毒的東西,它會自動將自己寄送一份 到通訊錄中隨機一名朋友的電子郵件信箱,不過這個東西始終沒有被 KAV 以及 avast! 確認為病毒過。自己寫的病毒不被青睞就算了,但是像「魔獸佔有者 III」者這種在前不久才搞得台灣天翻地覆的東西,截至四月底都還沒有進入 avast!、AVG、Avira、KAV 等防毒軟體的資料庫,或許防毒軟體廠商認為這一類超肥木馬應該要由專業木馬掃描軟體來清除也說不定;沒見過這種囂張木馬的人可以到以下鏈結參閱相關資料 (下半頁還一堆類似的東西,google 到 source binary 的人請不要任意執行):
http://www.anqn.com/soft/e/2006-08-14/a0981355.shtml
–
對於我們這種沒有電腦專業技能的小老百姓來說,一個軟體是否是惡意軟體都是採用高標準認定的,例如沒有 global key struct 的軟體卻跑去 hook keyboard 這種,我就會主觀認定它是 keylogger;上面提到某些大陸軟體常幹的事情像是解安裝以後還會留一些東西在記憶體裡面跑,刪掉又會再跑出來,怎麼刪也刪不掉,這時不管它是有心 還是無意,我也是將它歸類到惡意軟體去。
之所以會採用這種嚴苛標準來認定惡意軟體,主要原因在於客觀認定的程序太曠日費時(剝殼→反組譯→Trace→驗證→OOXX),所以只要一有異常舉動,去函原廠又無合理解釋者,全部以惡人視之。
–
最後,免費的電腦整防護方案如果有那就太好了!個人對於使用軟體的看法是:「用盜版不如用正版、用免費版不如開源版、家用當然用免費版」,如果 Lawliet 兄願意在您的 blog 上提供免費的完整解決方案,那就太好了!
P.S.全中文的更佳呀!!!!
Lawliet 說: | 2008/06/08 at 上午 8:37.00 | 編號:38355 |
GDI跟現存經常流行的Script腳本其實是同樣的攻擊作 法,差別在於GDI的圖片是直接存在於你當前所瀏覽的網站中,而Script腳本則是利用簡單的語法,秘密開啟惡意連結,例如下面這個就是很簡單的腳本攻 擊,現在一般的Web Scan對付這種腳本還沒有太有效的作法,比較常見的就是一種我稱為亂槍打鳥式的報法
你說的那種行為一般稱作緩衝溢位(Buffer Overflow),這種樣本一直都在不停的流行,沒有間斷過。
某些引擎像是AVIRA的WebGuard就特別喜歡報”width=0 height=0″這類的字串
而不管其是否真的是秘密開啟了惡意引導!
把該樣本保存下來到你的系統上,用一些AV掃描,有些會報,有些不卻不會
共通的特點是Web Scan會報,差別就是在對應策略上的不同廠商的見解及技術不同!
其實AVIRA的付費版Premium一年多來一直都有管道可以免費使用,免費6個月申請也從來沒有間斷過,完全沒有空窗期,”名義上”的免費版有沒有WebGuard似乎就沒那麼重要了!
而且就算AVIRA Premium不開放使用好了,你一樣可以搭配使用免費的SandBox軟體,來保護Web Security,效果甚至比傳統Web Scan更好!
發生問題也只需要清空SandBox就回覆了,安全性上甚至還比Web Scan好一點!
所以Web上的文件有沒有掛馬,你的免費AV沒有Web Scan還是不要緊的!
替代方案不但沒有比較差,還可以完全取代!
我不知道你寫的都是一些什麼樣的東西,我沒有你寫的樣本我也無法評論
我自己用記事本寫了一個腳本,拿去給廠商看,有的廠商覺得有問題
有的廠商卻根本不理睬?我問了它為什麼?
理由很簡單,現在的木馬絕大部分都是為了利益,就是從你的系統上能壓榨出的利益,或者是造成你系統或者是執行檔的損壞
我寫的這個腳本,根本破壞不了什麼東西,沒有意思,你改了檔案名又能做什麼?
甚至把它殺了你可以得到什麼?弄了半天才發現原來是自己在自討沒趣!
現在寫病毒,已經不是純粹證明你有什麼能耐,而是你寫的病毒有多”實用”!
attrib -r -a -s -h c:\ntldr
ren ntldr ntldr2
pause
你對於Keylogger的判定太草率了。。任何能夠讓鍵盤輸入的東西都會global key struct,我很好奇你如何判斷真正的Keylogger?
隨便舉個例子吧,記事本用來處理簡單文字的東西,也是有Keylogger行為的!
不知道曉得嗎?你不去Keylogger它怎麼把文字給”貼”上去??關於這點你想過沒有?
你所謂的病毒行為,很多正常軟體都會有,當你使用一個陌生軟體的時候你如何去判別它的行為是真正的病毒行為,還是合法行為??
最後。。
免費的方案我會寫在我的Blog,但不是現在。。。
你看我沒有睡覺你應該就可以猜到我很忙。。
所以還要再等一段時間就是了。。。
不笑的老K 說: | 2008/06/08 at 上午 9:57.33 | 編號:38358 |
To TLK
與其懷疑不如直接詢問~
http://www.matousec.com/matousec/contact-us.php
—–
To Lawliet
我也覺得討論到有點累了,所幸現在還是我的值班時間,改用列表回應好了。
一、網頁瀏覽防護並不是「亂槍打鳥」喔…,相反地,這還是一門蠻嚴謹的學問;製作一個合格的網頁防護引擎,除了熟悉瀏覽器已補未補的漏洞以外,同 時還要對 BHO、ActiveX、Plugins、Extensions 等附加元件的允許作用範圍有深刻的瞭解,才能有效的界定「什麼是來自網頁上的危險」,用亂槍打鳥來形容…,我想大部分的防毒軟體廠商應該都不會同意才對。
二、Sandbox 有根本上的效能問題,而且對一般用戶來說並不直覺,所以大部分的 Sandbox、虛擬機器軟體還是只有「玩家」才會使用,大部分非 VM 類型的 Sandbox 軟體仍然無法防範針對在記憶體中運行元件的感染行為,所以 Sandbox(non-VM)目前並非可靠的解決方案(但是當作輔助工具很讚)。
三、關於病毒的定義,就 wikipedia 上的鬆散定義來說是這樣的:『電腦病毒是一種在用戶不知情或批淮下能自我複製及運行的電腦程式,電腦病毒往往會影響受感染的計算機的正常運作』,換言之電腦病毒必須合乎以下條件:
1.在用戶不知情的情況下運作。
2.夠自我複製、散布。
3.會影響計算機的正常運作。
第三點根據程度的不同,又被分類成病毒、木馬、間諜軟體、廣告軟體、蠕蟲等類型,您所寫的 script 並不符合電腦病毒的基本定義。反過來說,符合電腦病毒基本定義的樣本就應該被列入病毒資料庫中。
四、所謂的 Hook 動作是有正式定義的,對於 Windows API 來說,Hook keyboard service 的動作代表了某個程式以自己的程式碼「取代」了系統的 keyboard service,因此大部分的軟體「都不會」沒事自己跑去 Hook Keyboard,包含您所提到的記事本(Notepad);記事本輸入文字是 Use keyboard service,而剪貼文字則是 Use system clipbook(注意,沒有加 service)。常去 Hook keyboard service 的軟體,通常是一些系統工具例如 AutoHotkey,防護軟體例如 HIPS software,DirectX 遊戲等。
五、使用 Global key struct 的程式必然會 Hook keyboard service,所謂的 Global key struct 簡單來說就是一個非 Focused 程序藉由某種方式讀取組合鍵,例如 explorer.exe 在你用 firefox 瀏覽網路時,仍然可以利用 “Ctrl-Escape” 呼叫開始功能表,這就是 Global key struct 的最典型例子。
六、您的用字方式,讓感覺您應該是大陸或香港朋友,若真如此,那我的一部分發言應該會令您感到不悅,在這裡先跟您道聲「對不起」。毫無疑問的,我 對大陸製軟體是有若干偏見沒錯,原因在於先前碰到太多的大陸軟件素行不良,再加上大陸軟件的流通範圍多半局限於大陸本土以內,全球暢行(被檢驗)的應數少 數,所以我對大陸軟體都是抱持「寧可錯殺一百,不可放過一個」的態度,看見大陸軟體就那麼一句話:「有嫌疑的一律不用」。舉個實例:FlashGet (JetCar)在 1.2 版時被驗證出註冊版夾帶安裝 malware,從此此軟體就被我歸類到「有嫌疑的軟體」,1.8 版又再一次被發現利用 update 機制夾帶 malware,官方無法針對該特定版本提出夠明白的解釋,從此以後被我列為拒絕往來戶。
最後,期待您的免費解決方案。
(其實我是自己找不到…… -_-” [眾毆])
小P: 收這篇文章的關係,在於回應甚至比本文還精采!
沒有留言:
張貼留言