金山引擎的缺陷，扫描文件卡死

李白vs苏轼

cutemole 发表于 2011-11-16 17:13
dl从来都是扣大帽子。。。这种反馈毫无意义，还不如楼主来的实在。

看来你没看通原文....
看看15楼....

李白vs苏轼

cutemole 发表于 2011-11-16 17:16
对于节过多，导致扫描效率降低，这个的确是可以通过策略规避的。这个问题会改的，这也是根本的问题。

编辑

dl123100

又见前面几楼的金山员工cutemole故意误导。
1、这个样本不是专门针对杀软静态扫描引擎构造的，样本在Win7是可以运行的。原作者构造的本意只是测试PE解析工具和动态仿真软件（包括杀软引擎的虚拟仿真环境），没有想到静态扫描也会出问题。
即使要构造针对金山的样本，也会试图构造常规PE演示基于熵计算比对存在的问题。
2、我们基于偶然发现的异常样本，通过分析异常时kscan.exe的各等待事件和大量page fualt的成因猜想金山可能的扫描方式。这一样本放到百锐群共享后，jeff、星空下的吻等同学继续测试其它杀软的扫描情况，并基于样本和某文继续分析、猜测，才有了现在的“反馈”。
3、创建0xFFFF个节这种方式的攻击，很久以前一些技术论坛的讨论就有涉及。即使是正规的杀软厂商界的安全会议，09年CARO 2009、10年卡巴组织的SAS 2010也有专门的议题分析了此类情况，更不要说最近的一些安全会议了。金山开发人员需要与时俱进，积极同行吸收共享的研究成果。
4、经过数十款商业级杀软扫描验证，目前只有金山出现这样的异常。其它扫描软件如UGuard出现的问题，已通知作者修正。从扫描速度上，经我们测试发现同样有扫描这里上万节的杀软，耗时近两分钟，也明显少于金山的速度。即使处理了节数量异常，金山也需要继续优化提高扫描效率。
5、此样本暴露出的金山杀软问题，不只是扫描引擎的校验文件、扫描算法效率上的问题。测试的数十款杀软中有一些扫描时间超过20秒的，这些杀软扫描过程中用户可以轻松中断扫描。只有金山，即使点了终止扫描，事实上后台进程占用大量CPU资源，用户仍然需要等待扫描结束才能继续正常使用。这里有内部事件响应机制的缺陷，更重要的是任务调度上的问题。
6、此样本的异常并非只能通过手动扫描触发，网络下载、VM拖拽复制、云鉴定、沙箱运行等方式都可轻易触发。多种方式配合，可能导致系统死锁，用户不得不手动强制重启。

ps 自8月某些事件后不再向金山反馈实质性信息。

星空下的吻

dl123100 发表于 2011-11-17 06:48
又见前面几楼的金山员工cutemole故意误导。
1、这个样本不是专门针对杀软静态扫描引擎构造的，样本在Win7是 ...

numbersofsection威武!

jefffire

dl123100 发表于 2011-11-17 06:48
又见前面几楼的金山员工cutemole故意误导。
1、这个样本不是专门针对杀软静态扫描引擎构造的，样本在Win7是 ...

某官人太小气了。别人能提出问题方向就已经不错了，找bug又不给钱，大家说是不是？

evilrabbit

jefffire 发表于 2011-11-17 09:45
某官人太小气了。别人能提出问题方向就已经不错了，找bug又不给钱，大家说是不是？

。。。真相帝？真给钱啊？

evilrabbit

jefffire 发表于 2011-11-17 09:45
某官人太小气了。别人能提出问题方向就已经不错了，找bug又不给钱，大家说是不是？

一般不会给钱的，本来测试的好多都是苦力工。呵呵

jefffire

evilrabbit 发表于 2011-11-17 10:02
一般不会给钱的，本来测试的好多都是苦力工。呵呵

当然没钱，你以为啊。。。

Deker

dl123100 发表于 2011-11-15 05:53
别的商业杀软扫描这个文件可能也会耗时长些，即使解析不正常，也不会像金山那样暴露出任务调度、事件响 ...

强大 那批文件的确很有价值

evilrabbit

jefffire 发表于 2011-11-17 10:09
当然没钱，你以为啊。。。

我们公司 定做软件 如果找出相当大的bug 有基金奖励 呵呵 100---500不等