嗅探Microsoft的病毒扫描引擎

灭灭之痕

ShirahimeKanata 发表于 2017-2-13 23:33
我印象中沙盘并没有用什么虚拟化技术，因此没有性能问题，仅仅是隔离程序而已

比如QQ，它所有相关的 ...

额，你这个和我说的那个“只开放给一两个程序的HIPS”好像差不多啊，问题是大家用得不舒服啊。你说开发者预设权限？我不是太了解，是说开发者需要提前和沙盘软件官方沟通吗？这个规则是什么时候写入的？像杀毒软件那样每天升级的还是用户自拟？
现在很多的程序都要读写实际文件的（当然有一些文件可以不在意），只要存在可能性，沙盘就很难解决，因为按照你的说法，沙盘更像是一个经过精心定制的“白名单+HIPS”，额，如果是这样，我觉得由HIPS开发者或者某些安软的主防部门专门维护一个白名单也能达到这种效果（这里我说的是效果），也就是说这个东西实现的难度没有那么大，但是现在杀软都做不到，不是说他们看不起这种技术，我觉得更有可能是因为这种实现方案影响使用。

灭灭之痕

ShirahimeKanata 发表于 2017-2-13 23:45
第一种窃取，这个系统组件不能完全代替杀软，安卓不是也有杀软么，但是安卓病毒似乎没有那么严重的感觉
...

安卓系统的安全不是太关注，病毒少不知道是因为专门的开发者比较少还是真的很难开发。安卓的确要申请权限，我不清楚原生石怎么解决的，但是一堆国产的UI在软件安装的时候都是有一堆权限声明的。安卓似乎默认是对于关键信息的读取都需要进行询问（联系人、通话记录、相册等等），安全性很高，但是你也看见了，现在安卓端流氓广告大行其道，说明这个安全系统还是存在弱点的。而且窃取信息这个真的是一个很重要的网络安全模块，比如国家和国家为啥互相派间谍？不就是要信息嘛……
冒充的解决方案就是数字签名，那么软件是不是要维持一个数字签名库？你看，又落到“维护名单”当中去了……
第三个，现在的杀软毕竟病毒库足够大，用户下载下来可以直接报毒，报毒了，用户的疑惑就会剧增（因为这是一个安软厂商的分析结果，比起用户自我定夺更加保险，除非知道这类东西会有误报，比如注册机）。沙盘做不到这一点，因为它必须询问用户，在不提供很明确的观点的情况下要求用户决策是很容易出问题的。
漏洞这个是没办法的，不过也不是最关键的，漏洞我觉得默认是存在，只有“找得到和找不到”的区别（有些漏洞所能提供的攻击太麻烦繁琐，也就没有人去在意了）。
所以我的观点是，杀软必须采用多种的防护措施（因为单一的防护太有限了）互相补充，才能最大限度地平衡安全和性能的问题，单一的措施无法保证安全。人们对于安全的定义并不是“不会中毒”，而是“我随便用都不会有威胁”。HIPS其实可以成为安全神器，可是为什么现在专门开发HIPS的厂商少了，就是因为用户实在不喜欢用啊，AV-Comparatives的真实环境测试中发现威胁有blocked和user dependent两种措施，因为问题交给了用户保证不了用户能判别威胁类型（记得之前user dependent只记50%）。所以太难交给用户，还不如好好维护自己的“名单”（不管是特征码还是主防内置规则）。

ShirahimeKanata

灭灭之痕 发表于 2017-2-14 08:31
额，你这个和我说的那个“只开放给一两个程序的HIPS”好像差不多啊，问题是大家用得不舒服啊。你说开发者 ...

.exc是一个zip压缩包，里面包含所有需要用到的.dll和程序，就像Android也会把.so库放到apk里一样，开发者需要在压缩包里的一个名为excinfo的文件里声明，这个程序需要哪些权限，就像apk。

总之和沙盘不太一样，只是用沙盘技术而已，不能完全套沙盘和HIPS的思维

其实就是Win32程序+APK包的策略，有点类似UWP，不过没有商店，目的是替代现有.exe的运行的方式。

为什么Windows没有漏洞也有病毒，而Android，Linux没有漏洞相对安全，还是系统的设计问题

我在这里说微软也不会参考我的意见，微软肯定是愿意发展UWP和商店，而不会用exc方案代替exe

ShirahimeKanata

灭灭之痕 发表于 2017-2-14 08:55
安卓系统的安全不是太关注，病毒少不知道是因为专门的开发者比较少还是真的很难开发。安卓的确要申请权限 ...

现在的数字签名也不是没白名单么，只有根CA名单
不需要白名单，向根CA申请数字签名证书就需要有个公司，有了公司就能查到这个程序是谁开发的
没有数字签名会标记为不可信任，而且默认无法获得“最高权限”，除非用户更改系统设置，允许不可信任的程序获得最高权限

我的主题是exc代替exe让系统更安全，杀毒软件成为辅助可有可无，而不是exc代替杀毒软件。

其实Win现在也很安全了，驱动需要数字签名，有UAC，有UWP。

GreenCodes

ShirahimeKanata 发表于 2017-2-14 10:04
现在的数字签名也不是没白名单么，只有根CA名单
不需要白名单，向根CA申请数字签名证书就需要有个公司 ...

我以前也说过，对应用的整个包进行数字签名

灭灭之痕

ShirahimeKanata 发表于 2017-2-14 10:04
现在的数字签名也不是没白名单么，只有根CA名单
不需要白名单，向根CA申请数字签名证书就需要有个公司 ...

可是现在软件不会都去进行数字签名检测啊。
按照你的说法，没有数字签名会标记为不可信任，那么如何判定没有数字签名？我总得用检测算法对制定的程序进行运算吧？运算结果我需要和我默认的某个“名单”比较确认吧？所以还是需要有一个“名单”，而且我不知道这种数字签名检测对于个人编写的小程序以及一些特定的“程序”认可度达到什么程度。会不会我自己编写的内存管理程序因为缺乏根CA认证而无法使用？
我的想法是，杀毒软件现在已经不再是单纯的“扫毒软件”了，而是一个综合体，是多种防御手段的一个集成和优化的结果（只是扫毒的思路还在继续……）。Win安装驱动的确需要数字签名，但是我记得也可以经过用户同意下绕过去吧（会提示有风险而已）？UAC是我觉得一个安全性的重大改变，但是并未彻底解决问题，只要是太依赖“user dependent”的方案都存在巨大风险。杀毒软件为什么没有被HIPS类软件替代掉，因为HIPS比杀毒软件不省心，毕竟用杀毒软件，给出的答案多数是确定的（有毒就是有毒，就算是漏杀……也是有尊严的漏杀……）。

灭灭之痕

ShirahimeKanata 发表于 2017-2-14 09:55
.exc是一个zip压缩包，里面包含所有需要用到的.dll和程序，就像Android也会把.so库放到apk里一样，开发者 ...

UWP的思路不错，如果能彻底做到uwp化自然会安全很多（约定权限），但是我不认为安全性是永恒的，在一定的时间内也会出现被破解的方案。现在为什么安卓和linux没听说中毒什么的？其实linux有不少漏洞被爆出来的，但是因为用户量较少，所以……而安卓没中毒，更多的是市场需要，因为现在信息窃取是一个特别重要的话题，所有的攻击模式自然要考虑成本问题，如果一种方案成本太高实现难度太大又没有什么优点，大家就没兴趣研究。
不过话说要是杀毒软件真的可有可无，岂不是就相当于被替代了……我觉得只要基于文件（就是需要根据已有文件系统的文件的信息进行应用处理的操作系统）的应用系统还存在，就很难完全避免被病毒侵害的命运，或许uwp之后病毒是类似N年前的宏病毒那样嵌在文件中的，利用软件的特定权限或者漏洞来进行加载等等也难说。毕竟如果一般软件可以改写成exc，病毒未必就一定要守着exe啊。
win10的安全性并不乐观，前面似乎有人贴了报告了，中毒的用户还是不少，当然相比xp来说好了很多……
咱也就是讨论嘛，论坛嘛，要真能改变微软的决策，我觉得我就能过情人节了

ShirahimeKanata

灭灭之痕 发表于 2017-2-14 23:25
可是现在软件不会都去进行数字签名检测啊。
按照你的说法，没有数字签名会标记为不可信任，那么如何判定 ...

数字签名维持现状啊，现在怎样还是怎样。。
你自己编写的程序因为缺乏权威CA的认证而无法获得最高权限（一堆高危权限的集合），需要管理员用户添加特例才允许，普通用户无权添加特例。

提示有风险，而用户仍然放过未知的程序，那么只能说用户太傻，这位用户不需要可选，需要的是自动禁止
就像安卓明明提示了这个程序要锁屏，而仍然点同意导致被勒索，用户的质量太差我也无话可说了，提示很明显了，稍微有点脑子的都明白不能允许

ShirahimeKanata

灭灭之痕 发表于 2017-2-14 23:25
可是现在软件不会都去进行数字签名检测啊。
按照你的说法，没有数字签名会标记为不可信任，那么如何判定 ...

简而言之，用户不带脑子啥都没用
有脑子，就算杀毒漏杀了，用户认为可疑的程序也会扔进沙盘

ShirahimeKanata

灭灭之痕 发表于 2017-2-14 23:38
UWP的思路不错，如果能彻底做到uwp化自然会安全很多（约定权限），但是我不认为安全性是永恒的，在一定的 ...

基于Win32程序 + 沙盘技术 + 类似UWP + UAC + APK方式预申请权限 = EXC 执行容器