楼主: B100D1E55
收起左侧

[技术原创] 嗅探Microsoft的病毒扫描引擎

  [复制链接]
ShirahimeKanata
发表于 2017-2-15 13:53:23 | 显示全部楼层
本帖最后由 ShirahimeKanata 于 2017-2-15 14:11 编辑
灭灭之痕 发表于 2017-2-15 13:26
另外还是那个问题,你怎么验证数字签名?你告诉我的是“人”去“查看”,但是我们需要的是软件去确认这个 ...


仍然是现有的啊 ==
目前就是 微软信任根CA,根CA签发中级CA证书,中级CA给开发者签发证书,证书给程序签名

这就呵呵了,人去查看不也是系统检查的数字签名是否正常么 ==

我说的EXC方案会由系统检查数字签名是否正常,不正常不能获得最高权限,安卓没Root权限不是也正常用了嘛

数字签名只保证可追查来源和不被篡改,不保证文件是安全的来源可信任,目的是可以追责
不是COMODO那种数字签名白名单,保证来源可信任

EXC方案的追查来源,通过数字签名的证书找CA,CA有相关信息,开发者公司/联系方式/地址,能查到谁是发布的病毒,追责

开源项目也有很多有证书的啊,而且可以用管理员用户添加特例,只是不建议而已
就像安卓也可以在系统设置勾选允许安装不可信任来源的应用
ShirahimeKanata
发表于 2017-2-15 14:04:48 | 显示全部楼层
灭灭之痕 发表于 2017-2-15 11:30
我的意思是,我能理解通过容器的方案能够提高安全性,但是这并不是一种根本的方案,只是阶段性的,就好比 ...


所以说EXC方案可以让传统威胁和传统杀毒退场

PS:其实也退的差不多了,现在都是勒索
ShirahimeKanata
发表于 2017-2-15 14:18:41 | 显示全部楼层
灭灭之痕 发表于 2017-2-15 13:26
另外还是那个问题,你怎么验证数字签名?你告诉我的是“人”去“查看”,但是我们需要的是软件去确认这个 ...

现在是个商业公司的软件都有数字签名,数字签名的目的为了防止篡改和保证来自某开发者,我说的数字签名只是沿用微软现在的方案,加上个可查询开发者是谁,开发者公司电话地址

比如Firefox,VLC都有数字签名
ShirahimeKanata
发表于 2017-2-15 14:29:34 | 显示全部楼层
本帖最后由 ShirahimeKanata 于 2017-2-15 14:34 编辑
灭灭之痕 发表于 2017-2-15 11:51
安卓的好就是软件是经过认证的软件市场给提供(假定软件市场本身值得信任),而权限也就那些,通常来说没 ...


而且EXC方案不只是为了防止病毒,还有别的功能
比如

firefox.exc
执行容器,整个程序包,包括所有用到的dll和一些exe程序,相当于现有安装目录的打包,内有excinfo文件声明需要那些权限

firefox.excfile
运行产生的文件,注册表,浏览器的书签,设置,都储存在这里,运行产生的文件和注册表的打包

换新电脑只要吧
firefox.exc文件 和 firefox.excfile文件 复制一下,书签,设置都复制过去了

卸载只要删除 firefox.exc文件 和 firefox.excfile文件 就ok了


再写下去我觉得我能当微软CEO了
灭灭之痕
发表于 2017-2-15 18:12:23 | 显示全部楼层
ShirahimeKanata 发表于 2017-2-15 13:53
仍然是现有的啊 ==
目前就是 微软信任根CA,根CA签发中级CA证书,中级CA给开发者签发证书,证书给程序 ...

所以说到时候肯定需要维持一个特定的名单,这个名单包含两个部分,一个是已有的CA认证信息,另外一个是管理员给予的白名单。前者暂且不说,后者就麻烦了,尤其是针对个人PC用户,管理员就是用户自己,那么有不少小程序都是没有经过CA认证的。除非用户彻底放弃使用这些小程序,否则他们开了头就有可能带来巨大风险,这就是我强调只要存在一个需要用户决策的“名单”,带来的风险就是存在的。
所以我一直强调的就是,windows的美妙就是太过于自由的开发环境,如果有一天微软对这个开发环境限制起来了,安全性的确会上去,但是也有很多很多的开发者会对此失望(当然不是仅仅因为自由,可能还和一些利益相关),甚至可能会影响微软的市场份额,你看uwp现在的情况,和曾经刚刚出来的火爆成正比。
的确安卓的那个不可信任来源我一般都是默认不允许安装的,但是难免有要安装的时候,安卓市场的存在让很多用户可以不去顾虑这个问题,但是在windows系统上执行这个策略我觉得还需要时间(微软的市场实在不能说成功)。而且windows的易用性是让windows一直流行的一大原因,微软没有必要为了所谓的“安全”去做这个牺牲,他们可能宁可让各个安软厂商去忙活这些事情。
灭灭之痕
发表于 2017-2-15 18:31:30 | 显示全部楼层
ShirahimeKanata 发表于 2017-2-15 14:04
所以说EXC方案可以让传统威胁和传统杀毒退场

PS:其实也退的差不多了,现在都是勒索

不过还是感觉对于监听类程序和木马不是很给力啊……只要能把代码嵌入到某个软件的inf或者利用软件漏洞进行加载和窃取。
至于换软件的事情,其实我感觉微软都不想考虑,因为是否方便貌似是用户去想的,我觉得微软官方宁可让你啥都不换老老实实用一台电脑,或者用他们官方推出的在线同步功能,因为“用户最终体验计划”。
你说的exc以及excfile文件,现在的uwp是不是就是大概这个样子?之前在ubuntu下用过appimage类型的文件,整个软件就一个文件,依赖的库什么的在里面,貌似和你说的这个也很接近啊。但是可能会导致文件比较大,也的确是现在这个时代才能用上这个技术,因为磁盘空间已经成了小问题了……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 23:45 , Processed in 0.082188 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表