关于“帅帅”对Z龙说的MSE监控机制质疑的一些解释与测试【仅供参考】

飞霜流华

zdshsls 发表于 2011-9-21 13:58
双连了。

说实话如果按帅帅的说法，安装什么都不安全了，病毒可以针对某些杀毒软件，进行绕过和免杀 ...

的确，就修改设置而言，无论排除还是设置为仅监控传入，肯定都是不如原装的的全面，现在唯一能做的，就是找出负面效果最少的，并通过扫描等方法弥补一下不足~

驭龙

wy1091727248 发表于 2011-9-21 14:04
的确，就修改设置而言，无论排除还是设置为仅监控传入，肯定都是不如原装的的全面，现在唯一能做的，就是 ...

其实我当初那个帖子，早就说过这么设置会降低一定的安全性，而且标题也写了，仅供参考。可是……

不说了，闪人

帅就是帅

wy1091727248 发表于 2011-9-21 13:34
帅帅，鉴于排除进程存在的安全隐患，那么设置为仅监控传入怎么样？一来这么设置很简便，而且也能解决卡e的 ...

其实吧不建议，特殊场合下可临时关闭，日常不建议，卡e确实说明MSE的程序有点问题，既然选择了这个产品也不是不能忍受，或者先选择别的产品，待改善后再回来

关于6# LZ的回复：
①啥叫系统创建线程MSE监控。。。。。我们现在用的windows不是dos，一般是在分时的保护模式下，所以有任务的独立性，进程的独立性等等，不同程序的地址空间是隔离互不干扰的，从而保证了稳定性。而有时候需要访问其他程序的内存空间，比如一个malware创建了线程注入explorer.exe的内存空间从而可以比如调用cmd完成一些破坏性动作等等，此时，该远程线程就拥有了explorer.exe相同的权限来做事，即使该malware进程不在了，此线程也会依然存在，而这个时候不监控explorer.exe等于给敌人开了城门。。。

②你这个测试，其实根本证明不了你的那个结论，就像，找了一个病毒A，下载到硬盘，不报，运行了，报，然后说MSE没有硬盘监控。。。。确实，MSE没有硬盘监控是会出现这种情况，但出现这种情况并不能说明MSE没有硬盘监控。一个试验只是必要条件，不是充分条件，所以，如果要证明充分性，需要统计的角度，需要至少10[sup]6[/sup]数量级的取样。。。
而且确实，用户不会天天下病毒，但网站会挂马，黑客会入侵啊，就算卡饭还不是一样挂马了。。。
http://bbs.kafan.cn/forum.php?mo ... &fromuid=472902

另：to zd，
我不2，情商也不是低到可怜，我也知道这些话说出来会让人不舒服，这也是这么长时间我也只在这个版区偶尔说说话的原因。。。关于你的部分帖子，我们也有一些人讨论过，基本上是得到了共识。
可是还是说了点伤人的话，为会员负了点责就成了，可能我们的一句无心的话，会员照做了，受到损失了，那样才会让人惴惴不安的。。。
你想想，如果真的要针对你，这段时间有没有处处为难你。。。我也不是那种人。。。我也不会“居高临下”去“指点”你神马，我自己也能感受到自己的无知和在庞大知识面前的渺小，真的，才会给你点点小小的建议。。。该给的小建议俺也在给你的PM里说了。。。一些掏心肝的话是好是坏你也可以自己拿捏
多看看书，多出去走走，好处很多的

飞霜流华

帅就是帅 发表于 2011-9-21 20:05
其实吧不建议，特殊场合下可临时关闭，日常不建议，卡e确实说明MSE的程序有点问题，既然选择了这个产品也 ...

帅帅，关于在特殊场合关闭监控的事情，我曾经受到过伤害
那是测试病毒包，我解压，怕卡，就临时关了，然后有同学来了，然后一帮人就胡扯了，时间一长，我回到电脑旁，发现，监控真的打不开了后来试了各种办法才弄好
就我个人来说，exe多的文件夹，我都是设置的排除，然后定期手动扫描下确保安全~
另外，关于你和z龙的讨论，我还是非常鼓励的，毕竟在MSE区，这种讨论还是比较少见的，所以我会给你们两个都加分，正常的讨论我也希望正常的开展，不要因为有些观点的不同而导致一些不愉快，我感觉这个真的很划不来，我想z龙也没有特意反驳你的意思，你也没有和他针锋相对的想法~
希望以后能看到更多精彩的文章

驭龙

帅就是帅 发表于 2011-9-21 20:05
其实吧不建议，特殊场合下可临时关闭，日常不建议，卡e确实说明MSE的程序有点问题，既然选择了这个产品 ...

我跟你的想法不同、观念不同、思维不同，所以本回复以后，我绝不会再跟你讨论。

PS：你两次提到PM我建议，我想说的是，我这几个月的版主工作，可不是你教的。你PM的内容，让大家看看你给我的建议，不就是学编程，这对普通爱好者没什么太大用处，毕竟不是靠它吃饭.

这是所有记录，我除了问了两个无关紧要的问题，还有什么？我退出不代表逃避，而是不想破坏版区的和谐，瞧瞧，两个退休版主在这里华山论剑有意思吗？或许我当初就不应该接手这个MSE版区的烂摊子，唉！我也根本不想做版主，你看看 我的注册日期，如果我想做版主，何必是现在？我适不适合做版主，不是你一个人就可以否决的。

关于白狮子那个问题，是我的问题，可是我也是在说我自己也有问题了，而且我也是想提醒他一下，活动是尽量不要有错误。当然我当时确实是很无语。这都是题外话，不多说了，或许你也不知道我退出的原因，哈哈

在说一句，我本不想再做版主，当初你走的原因，我也很清楚，不如你回来，我走人。

您  2011-4-25 19:47 帅帅，问一下，hsezbmh说你没有给他发4月份的测试工作，让我补发。我想知道要给他加什么，请你说明一下，谢谢 . 菜单

您  2011-4-25 19:48 是工资，打错字了，呵呵 . 菜单


帅就是帅  2011-4-25 20:08 mse上报剩余样本奖励，每月1魅力

您  2011-4-25 19:47 帅帅，问一下，hsezbmh说你没有给他发4月份的测试工作，让我补发。我想知道要给他加什么，请你说明一下，谢谢 . 菜单

您  2011-4-25 19:48 是工资，打错字了，呵呵 . 菜单


帅就是帅  2011-4-25 20:08 mse上报剩余样本奖励，每月1魅力

您  2011-6-16 13:10 关于你在“Microsoft Security Essentials 基础帖”的帖子
帅帅，你别介意，我把你的置顶基础帖撤销，我只是发现内容长时间没有更新，加上链接内容失效，所以我才更换的，你可别生气哟。MSE新版本的时候，我还等着看你写的测评，记得有空回来看看，我们挺想你的哟。呵呵。 . 菜单

您  2011-9-19 14:14 关于你在“Z龙重新解读MSE 2.0的 Dynamic Translation (DT)技术【拒绝口水，Z龙不会再回复本帖】”的帖子
帅帅，我之后可能好发一个帖子，内容跟下面的引用内容有关，当然我也只是探讨一下，没别的意思，你不要介意。呵呵

仅仅因为排除火狐进程就定论MSE的监控不是基于硬盘读写而是进程的说法也是有错的排除进程后，该进程的所有操作包括读写硬盘内存神马的都排除了，其实并不是楼主的结论。。。。
所以，以前所谓的卡exe解决方案和把MSE当扫描器没啥区别。。。。
. 菜单


帅就是帅  2011-9-19 14:34 那个帖子不用看我就知道你要说啥。。。。
o(︶︿︶)o 唉，可能你见过的样本类型有些局限吧，建议先去学汇编，然后逆向，然后的然后就水到渠成了 . 菜单

您  2011-9-19 14:39 我不想说别的，而且我也不玩样本，而且我那个帖子没有那么复杂，我只是想看看MSE究竟是不是真正的监控文件的读写I/O。

句句说我误导会员，那你呢，我的NAV英文版，难道诺顿的库还分中英文版？



我只是那这个代码做实验，并不是用它鉴别杀毒软件的强弱。

用诺顿的朋友，自己下载这个代码试一试吧

帅就是帅

现在你怎么就避重就轻不谈主楼的问题，24楼①和②才是重点，也是会员最关心的。
你想证明你的结论，我证明了你的论证过程的问题，请问你现在哪里证明了？现在转移话题到我们俩的交流是负责任的态度吗？

另：你撤销我的帖子都是几个月前的事了，我请问你，也请你扪心自问，我为难你了吗？
把前几天PM的消息拿出来，怎么不把以前我所提出的帖子一并贴出来，要不要我找出来？
我的目的是什么？我希望有更让会员方便的方式去解决问题，而情况是如何？因为和你的观点不合，就变成和你的针锋相对吗？
请让大家看看我以前的回复，是不是有留面子注意语言的表达方式？
如果你是抱着这种对人不对事的态度，那好，现在我告诉你，我现在开始不尊重你，而且现在我也就和你针锋相对。
我可以留面子，也可以含蓄，就事论事，但你现在这样的态度，以及对会员的态度，不好意思，触了我的底限，我不是吃素的，不好意思，下面内容不给你面子：

主楼的论证不堪一击，5楼和24楼已经说明了，我再顺便粉碎你的误导：

③不妨再做一个关于诺顿的试验——

测试环境：Windows 7  Ultimate SP1 X86 EN
测试软件：Norton Internet Security 2012 中文版

你一直回避我你所谓的病毒代码是什么，好吧，用猜的也知道是EICAR的测试代码
如果不是，请附上你的病毒代码，其实即使不是，也能说明问题。

1. X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

复制代码

将该代码保存在txt文档中，然后看杀软是否报。
然后网上一直有这么一个至今还误导小白的话：

一等杀软复制该代码就报了，二等杀软保存该代码的时候就报了，三等杀软扫描的时候报，四等杀软不报

然后我们“惊喜”的发现，原来我们很多人用的国际杀软、国内名流杀软都是三等杀软呢！哦，有二等的。。。

比如你所说的赛门铁克，就开始该试验，请保存如下文字至txt文档并用NIS扫描：

1. 这个代码可以测试一下：
   
2. X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

复制代码

哇，监控没有报耶，哇，扫描没有报耶；

再将如下代码保存到doc文档并用NIS扫描：

1. X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

复制代码

哇，监控也没有报耶，哇，扫描也没有报耶。

是不是我也可以如是说：

赛门铁克的杀软不是真正基于硬盘监控的，不然我又没有加花，为什么两次都不报，我的试验证明了一切问题。

何况我说了仅供参考（我注：然后高亮给会员看？不担心会员万一真的去这么做？）

NIS 2013的监控机制有了恐怖的改变，我并没有说NIS不好，讨论这个问题意义不大，本帖不再回复。

难道杀软的内部逻辑不能是如下四个流程？（一个简化的例子）
Ⅰ 下载到本地硬盘，触发监控；
Ⅱ 监控得为EICAR测试文件；
Ⅲ 由于并不对真实系统造成损坏（或加权威胁度较低），不影响用户工作效率，第一步监控不报；
Ⅳ 由于杀软正常工作，扫描报；或进一步运行，（加权威胁度提高）第二步监控报。

====

好，我等着你回应以上楼层的① ② ③ 三个对会员真正重要的问题。

再回到个人问题上:

1.关于汇编：
好了，到此我已经知道你的知识状态了，其实不到此我也知道了。我建议你学习汇编，是为了让你去编写软件？come on ，请问哪一个安全厂商技术牛人，哪一个病毒分析师不学习汇编？难道你不知道如果想要对安全软件（包括但不局限于杀软）还有病毒木马有更深的认识会经历汇编的阶段吗？看看大牛mj0011，dl123100……这些让人膜拜的大牛是不是掌握了这门永远不过时的语言？（我也承认，在dl，mj面前，我嫩的完全不堪一击）
看看吾爱破解的LSG专区，看看看雪，汇编可不仅用在病毒木马上。
你是个好的热心卡饭，但坦白说，以目前你的技术情况，个人不建议当技术型版主。

2.关于你版主的工作：
是的，不是我做的。当初我辞职的事你还没有权限进入内部版区并不了解，OK，不提这个，请问是不是我必须去为你做些什么？是，请提出。当初也有大版懒猪作为你的指引人，如果讲讲我的经历，从猫猫接手版区，从进入论坛的每个特殊组，没有人举荐，没有人指引，也没有人给教程，每一个地方包括hunter的东西都是自己一点一点学，然后进入，通过考核，然后发布一些不成熟的小小心得。凡事靠自己。

如果觉得是你做的工作，我没权干预。那么请问，我又干预你版主工作的什么了？
难道我不是卡饭会员，不能针对技术问题讨论，不能帮会员解除误导？
因为某些部分人知晓的原因，我大部分时间只在你尚不能进入的内部版区活动。

如果再PS一下：
现在是wy朋友做版主，也许他也很嫩，相比之下，我认为他确实比你更适合这个位置。
至少在我看来你每次的争辩都是为了反对反对的声音，那你又如何对他呢？

在CHZ的内部版区是不是要发表“白狮子又干什么混的？我真服了，为什么连续两次举办活动都犯一样的低级错误，我无语了…………blabla”（不记得原话，大致这个意思）的言论，盛气凌人去“指点”他？亲，千万别说是什么关心则乱我也是为活动好。。。。至少在当初，你的表现就是这样高高在上，我不知道wy白狮子版主当时有没有感受到委屈，从我旁观者的角度来看，这话确实过分，既然当事人没有什么，我也不好什么。但如果是要这样的指点，抱歉。

以前我尊重你对版区的付出，抱歉，从现在开始对你没有一丝的敬意，。

另外对会员说的话：
和太多大牛比，我也是小菜鸟，但我也能从认知分析的角度上帮助朋友解决问题，我也曾经历过被大牛喷的体无完肤的阶段，OK，这些不重要。重要的是，你们的面前有很多安全方案选择，我也没有强迫你们非要选择我的方案，接受我的观点，我也有一些观点会存在疏漏和问题，能做的是尽量的保证不至于大的偏差和误导。大家需要记住的就两句话：数据无价；对你们的选择负责就好。

帅就是帅

和谐很容易，会员为重

帅就是帅

zdshsls 发表于 2011-9-22 09:37
我跟你的想法不同、观念不同、思维不同，所以本回复以后，我绝不会再跟你讨论。

PS：你两次提到PM我 ...

不知道为什么说提交内容包含不良信息，只好截图了，囧


====


稍后放视频

驭龙

帅就是帅 发表于 2011-9-23 20:01
不知道为什么说提交内容包含不良信息，只好截图了，囧

我不得不承认我的错误，我确实是在某些方面做的不好，可你的话真的让我心寒，当然我并不会怪你，随叫我做的不好。反正你那件事情已经平息，你回来吧，我走人

我直接下载EICAR的文本
http://www.eicar.org/download/eicar.com.txt



大家自己试一试吧，我的NAV是智能特征库，呵呵。

我这次真的是闪人了

帅就是帅

zdshsls 发表于 2011-9-23 20:22
我不得不承认我的错误，我确实是在某些方面做的不好，可你的话真的让我心寒，当然我并不会怪你，随叫我 ...

看来EICAR测试代码的用处不是那么清楚，非技术类的，我可以道歉，但关乎事实以及会员的安全，我没法让步，你的几个结论我也逐一推翻了。

① ② ③ + 视频
（见24楼、27楼，视频下载地址：http://dl.dbank.com/c0fa1brpzb
   视频为exe文件，直接双击运行，时长12：12，大小6.32M）
预览如下：



我不明白，27楼就已经推翻你的EICAR的试验，难道被选择性忽视了吗？你的截图根据27楼基本上不具备意义。如果为会员负责，请直接回应 ① ② ③ + 视频 4部分内容。
所以你的论证可能有点点问题。