从某大牛制作的云安全工具体会到

真诚走天涯

前段时间看到了一篇比较火的帖子：http://bbs.kafan.cn/thread-940068-1-1.html

该大侠在帖子里写下了不少对于云安全的心得体会，看了之后还真学到了一些东西。继而该大侠很有创意的制作了一款小工具，大小只有几个 kb而已，号称可以将系统里的可疑文件上传让几乎所有主流杀软为你检测一遍
不过需要微软的。net支持，一般最新的win 7 系统可以直接运行的

软件运行后如下，其实很简单有意思的



对于这款工具，该大侠的信心也非常十足，咋们可以看看帖子里他对该工具的介绍
怎么样，最后一句说明了是完全云安全查杀，第一句说明了其他任何啥软件测到的样本该工具绝对不会漏掉，貌似很强大的说



再往下看之后才觉得这是大侠对于某些杀软的一种讽刺吧



本着对大侠的崇拜心理，我很激动的下载体验一下这个用来讽刺的“病毒检测率全球第一”的绿色杀毒工具

先说说该工具的方式吧：
既然只有几 kb大小那自然不会有什么杀毒引擎病毒库之类了，所以该工具只是将用户选择的文件一个个上传到大名鼎鼎的网站http://www.virustotal.com 作分析，这个网站或许有些网友已经知道了吧。它可以在线提交样本，然后有网站内准备的各个主流杀毒软件进行分析检测继而给出大家结果。所以这款小工具主要就是帮助网友将样本提交给网站然后得到反馈结果。方便了大家的操作

在分析了大侠的这款小工具源代码后我们进一步发现了其工作原理：
这款工具根本没有将样本文件上传出去，而是计算出了样本 md5，这是每个文件都必有得而且唯一的身份证号码，然后将这个号码发给网站，网站收到之后和自己准备的哪些杀毒软件病毒库里的md5做个对比，如果病毒库里有该号码则是病毒，否则就是正常文件喽

再来做个实例吧
手头还没有什么新鲜的病毒包，用了一个多月前搜集的先试试效果，一共100个样本，可以从下图看出，nod32 全部检测到了，而该工具有不少漏杀。不对，具体说是www.virustotal.com 的遗漏



因此我们可以得到个结论：
这款工具是不是全球检测率第一，肯定是由www.virustotal.com 决定的，这个网站能准备多少杀毒软件，能搜集这些杀毒软件多么新多么全面的病毒库和检测引擎，就能检查出多少病毒。而事实上www.virustotal.com如果有和你系统中一样名字的杀毒软件，但也绝对不是最新最强的版本。因为这个网站仅仅使用杀软的病毒库对比检测，也没有涉及启发式主动防御等等高级技术。所以被它检测的结果和你自己系统用同样杀软检测的结果会截然不同

我想这位大侠的意思就是在讽刺某些安全厂商用那些空头宣传来忽悠普通网友，没有自己的技术实力等等的现象吧。猜得不对也别拍砖了

MagicFuzzX

本来就是用了VT的API，而且那人是在upk和看雪混不下去，才来卡饭装X的

Tron

smilediy 发表于 2011-3-29 18:04
本来就是用了VT的API，而且那人是在upk和看雪混不下去，才来卡饭装X的

一针见血

jefffire

smilediy 发表于 2011-3-29 18:04
本来就是用了VT的API，而且那人是在upk和看雪混不下去，才来卡饭装X的

不要拆穿人家嘛。这样不好玩

jinzijie

哈哈，难道是那位

langsileaa

smilediy 发表于 2011-3-29 18:04
本来就是用了VT的API，而且那人是在upk和看雪混不下去，才来卡饭装X的

没必要拆穿吧？不过估计就是你拆了，我看还是会装下去。从帖子辩论就可以看出这点。
最近都没人回复了，还不是自己在那里继续唱高调、自我陶醉？
不过不知道又要误导多少不看回帖的童鞋了

langsileaa

回复 5楼 jinzijie 的帖子

终于浮出水面了啊。还以为你要潜到太平洋海底呢。

卡尔不死机

这个工具很好地说明了云安全的一个软肋

涩涩的猪

云...还是需要完善的

langsileaa

回复 9楼 涩涩的猪 的帖子

已经被误导了？这是云？