嗅探Microsoft的病毒扫描引擎

ShirahimeKanata

灭灭之痕 发表于 2017-2-15 13:26
另外还是那个问题，你怎么验证数字签名？你告诉我的是“人”去“查看”，但是我们需要的是软件去确认这个 ...

仍然是现有的啊 ==
目前就是 微软信任根CA，根CA签发中级CA证书，中级CA给开发者签发证书，证书给程序签名

这就呵呵了，人去查看不也是系统检查的数字签名是否正常么 ==

我说的EXC方案会由系统检查数字签名是否正常，不正常不能获得最高权限，安卓没Root权限不是也正常用了嘛

数字签名只保证可追查来源和不被篡改，不保证文件是安全的来源可信任，目的是可以追责
不是COMODO那种数字签名白名单，保证来源可信任

EXC方案的追查来源，通过数字签名的证书找CA，CA有相关信息，开发者公司/联系方式/地址，能查到谁是发布的病毒，追责

开源项目也有很多有证书的啊，而且可以用管理员用户添加特例，只是不建议而已
就像安卓也可以在系统设置勾选允许安装不可信任来源的应用

ShirahimeKanata

灭灭之痕 发表于 2017-2-15 11:30
我的意思是，我能理解通过容器的方案能够提高安全性，但是这并不是一种根本的方案，只是阶段性的，就好比 ...

所以说EXC方案可以让传统威胁和传统杀毒退场

PS:其实也退的差不多了，现在都是勒索

ShirahimeKanata

灭灭之痕 发表于 2017-2-15 13:26
另外还是那个问题，你怎么验证数字签名？你告诉我的是“人”去“查看”，但是我们需要的是软件去确认这个 ...

现在是个商业公司的软件都有数字签名，数字签名的目的为了防止篡改和保证来自某开发者，我说的数字签名只是沿用微软现在的方案，加上个可查询开发者是谁，开发者公司电话地址

比如Firefox，VLC都有数字签名

ShirahimeKanata

灭灭之痕 发表于 2017-2-15 11:51
安卓的好就是软件是经过认证的软件市场给提供（假定软件市场本身值得信任），而权限也就那些，通常来说没 ...

而且EXC方案不只是为了防止病毒，还有别的功能
比如

firefox.exc
执行容器，整个程序包，包括所有用到的dll和一些exe程序，相当于现有安装目录的打包，内有excinfo文件声明需要那些权限

firefox.excfile
运行产生的文件，注册表，浏览器的书签，设置，都储存在这里，运行产生的文件和注册表的打包

换新电脑只要吧
firefox.exc文件 和 firefox.excfile文件 复制一下，书签，设置都复制过去了

卸载只要删除 firefox.exc文件 和 firefox.excfile文件 就ok了


再写下去我觉得我能当微软CEO了

灭灭之痕

ShirahimeKanata 发表于 2017-2-15 13:53
仍然是现有的啊 ==
目前就是 微软信任根CA，根CA签发中级CA证书，中级CA给开发者签发证书，证书给程序 ...

所以说到时候肯定需要维持一个特定的名单，这个名单包含两个部分，一个是已有的CA认证信息，另外一个是管理员给予的白名单。前者暂且不说，后者就麻烦了，尤其是针对个人PC用户，管理员就是用户自己，那么有不少小程序都是没有经过CA认证的。除非用户彻底放弃使用这些小程序，否则他们开了头就有可能带来巨大风险，这就是我强调只要存在一个需要用户决策的“名单”，带来的风险就是存在的。
所以我一直强调的就是，windows的美妙就是太过于自由的开发环境，如果有一天微软对这个开发环境限制起来了，安全性的确会上去，但是也有很多很多的开发者会对此失望（当然不是仅仅因为自由，可能还和一些利益相关），甚至可能会影响微软的市场份额，你看uwp现在的情况，和曾经刚刚出来的火爆成正比。
的确安卓的那个不可信任来源我一般都是默认不允许安装的，但是难免有要安装的时候，安卓市场的存在让很多用户可以不去顾虑这个问题，但是在windows系统上执行这个策略我觉得还需要时间（微软的市场实在不能说成功）。而且windows的易用性是让windows一直流行的一大原因，微软没有必要为了所谓的“安全”去做这个牺牲，他们可能宁可让各个安软厂商去忙活这些事情。

灭灭之痕

ShirahimeKanata 发表于 2017-2-15 14:04
所以说EXC方案可以让传统威胁和传统杀毒退场

PS:其实也退的差不多了，现在都是勒索

不过还是感觉对于监听类程序和木马不是很给力啊……只要能把代码嵌入到某个软件的inf或者利用软件漏洞进行加载和窃取。
至于换软件的事情，其实我感觉微软都不想考虑，因为是否方便貌似是用户去想的，我觉得微软官方宁可让你啥都不换老老实实用一台电脑，或者用他们官方推出的在线同步功能，因为“用户最终体验计划”。
你说的exc以及excfile文件，现在的uwp是不是就是大概这个样子？之前在ubuntu下用过appimage类型的文件，整个软件就一个文件，依赖的库什么的在里面，貌似和你说的这个也很接近啊。但是可能会导致文件比较大，也的确是现在这个时代才能用上这个技术，因为磁盘空间已经成了小问题了……