★★★给大家个好玩的,,关于MD5碰撞,及360的信任列表隐患,详细看51L成功定制代码.....

李白vs苏轼

单身熟男 发表于 2011-10-13 01:18
那完全可以写一个白一个黑，白的给360加入白名单，那黑的不就横行了么？

这样做其实只能进灰名单
真正有意义的是那个白能进入白名单，那有点远
不过如果有个数字签名那就不同了

22667999

貌似感觉是有点问题 这种md5机制

tedrick

主防不管白的DD？？？貌似leisong发的一个国外有效签名的AD软件，也是改MD5才报。
当云“安全”高于本地监控。不是好事啊。

http://www.win.tue.nl/hashclash/

郑伟用户

ALEXBLAIR 发表于 2011-10-12 23:36
嗯~那么，我制定某个md5，可以让别的代码变成我要的固定MD5么？
你懂我的意思的~

你说这个昨天也在QQ和李白提了，如果能做到，那后果..........

leisong

李白vs苏轼 发表于 2011-10-13 02:23
这样做其实只能进灰名单
真正有意义的是那个白能进入白名单，那有点远
不过如果有个数字签名那就不同了

1、那就要看白名单审核严格不严格了，这样碰撞出来的，白文件也加了大把垃圾代码了，如果审核严格，特别是360这种MD5库的白名单一定要严格审核，这种大量垃圾代码的白文件一看就知道有问题，入白名单库还是没戏。

2、其次，这种机器自动添加的垃圾代码很有规律，普通的启发就能搞定，到时候QVM也可以学出来杀掉，且被启发出来后制作者还不能随便改，只好被杀。

3、至于数字签名，直接用黑文件加就好了。

4、再者，这种碰撞出来的，即便万幸实现了制作者想要的效果，一点都不能搞免杀，非常的短命。可利用价值和付出的成本不成正比，恐怕得不偿失。

5、恐怕有一天即便有强碰撞的超强技术存在，也不会流传给小木马制作者们，而会像当初攻击GOOGLE的超强漏洞和那个超级工厂病毒用作大用途。但是只要流传出来，就有办法解决，所以目前似乎不必担心什么。

当然未雨绸缪也是好事

evilrabbit

搞md5碰撞，不能指定 先有程序的md5，其实说多了都是无意义的。除非木马能够利用伪造一个 白名单的md5 然后运行。。
说了再多的道理，再多的话，能不能运用，能不能实用，这个才是各大厂商关注的问题。

evilrabbit

leisong 发表于 2011-10-13 09:08
1、那就要看白名单审核严格不严格了，这样碰撞出来的，白文件也加了大把垃圾代码了，如果审核严格，特别 ...

其实 对于第二点压根就用不上什么启发，稍微对某些程序做些手脚，他连壳都加不了。哈哈

leisong

evilrabbit 发表于 2011-10-13 12:51
其实 对于第二点压根就用不上什么启发，稍微对某些程序做些手脚，他连壳都加不了。哈哈

所以弱碰撞了几年，在安全上都没有出纰漏，担心基本是多余的我认为。
更何况，云反馈越来越快，放出来后迅速被杀，还不能做免杀，可利用价值越来越趋近0。要等到强碰撞被研究出来后才能颠覆整个HASH认证体系。

李白vs苏轼

leisong 发表于 2011-10-13 13:20
所以弱碰撞了几年，在安全上都没有出纰漏，担心基本是多余的我认为。
更何况，云反馈越来越快，放出来后 ...

有一个员工搞了个老板的签名,,,,,,
骗了东西

这事有新闻

evilrabbit

leisong 发表于 2011-10-13 13:20
所以弱碰撞了几年，在安全上都没有出纰漏，担心基本是多余的我认为。
更何况，云反馈越来越快，放出来后 ...

其实之前 360起初出qvm引擎，我不懂原理，不知道这玩意到底有没有作用，刚出来没多久，那时qvm不是很成熟，强点的花指令都可以免杀。当时担心qvm到底这玩意实用不实用？如果不实用，我估计早就不跟踪这个引擎发展了。说的好不如做得好。确实实用才是最核心的。