嗅探Microsoft的病毒扫描引擎

GreenCodes

linzh 发表于 2017-2-11 11:24
就目前情况来说，我签名里的任何一个杀软外加360都比BD防cerber这种勒索都要好，BD入库的太慢了， ...

eset防cerber比BD好，我笑了

灭灭之痕

B100D1E55 发表于 2017-2-11 12:37
不好说，淘宝卖家传“报价单”，玩家下载外{过}{滤}挂修改器人肉工具刷票机注册机等中毒概率实在太大了， ...

其实核心在于用户是否足够警惕，比如淘宝买家很多都是妹子，她们的一些购物经验和对于店铺的选取挺细心的，如果谨慎的一点真的不容易遇到这种情况。至于用waigua的，我见过一般有交流群的那种，而且用外{过}{滤}挂的人怎么说呢，不能太算是轻度用户。
我知道实际攻击要搞起来可能很容易，甚至不需要学什么知识，我下个病毒，直接邮箱大大咧咧传出去，只要有个倒霉蛋的点了，都可以算一次攻击就完成了。但是一来这种攻击的针对性太强（不如毒网那种访问的都倒霉），二来现在网络环境比较谨慎，而且很多人电脑上毕竟也是有安软的（安软之间的差距不大），所以导致对于很多人来说概率真的很低。现在的攻击似乎针对性更强，这样导致的结果就是“被针对的很惨，不被针对的完全不在意”。对于一个每天就知道上优酷B站看视频听音乐刷论坛的人来说，真的有很遥远的感觉。这也是我为什么总是说服不了很多人装杀毒软件的原因。所以我觉得最好现在再有一个什么病毒一下子废了一大堆人的电脑，可能他们才不会好了伤疤忘了疼，哎……
不太了解勒索软件的历史，请教一下是最近才开始被关注的吗？现在针对其查杀能力不足会不会和样本太少有关？
关于这个“诱导病毒发作”，我是在想有没有什么牛逼的做法能够促使其暴露，还是就是扔给一个虚拟环境看看运行情况就不管了？

灭灭之痕

不过话说回来，就WD的这个开发进度我也的确是有点醉啊。干脆开发病毒的直接先侦测一下系统，如果是win10直接带入John Doe的名称绕过防御得了，搞不好明天就有了一个大新闻：XXX病毒爆发，已经感染数万win10用户！
以前我以为虚拟环境下用户名都是随机生成的，再不济也是一个开头加上一串日期和时间的那种，结果WD居然用John Doe，我真是服了！这个开发程度，不被针对都不安全不说，被针对了简直能被病毒活活玩死（又想到了曾经用赛门铁克企业版，开开心心遇到病毒却清除失败隔离失败删除失败的结果）……
另外一说，我的WIN10简直就和中毒了一样，感觉开发不够完善的感觉，核心系统都不够用心，WD的能力真的是可想而知，Win10是我第一款用了之后居然会怀念用ubuntu的日子的操作系统……

linzh

GreenCodes 发表于 2017-2-11 12:54
eset防cerber比BD好，我笑了

呵呵，你自己去测测现在是什么个情况再来说话，我都是测过的。现在不代表过去，也许ATC过几天升级一下就满血复活了也说不定呢

B100D1E55

灭灭之痕 发表于 2017-2-11 13:05
其实核心在于用户是否足够警惕，比如淘宝买家很多都是妹子，她们的一些购物经验和对于店铺的选取挺细心的 ...

我个人认为安防终极就是不需要用户过分操心（例如收到未知文件能马上放心打开，而不是不停揣测是不是毒），当然这点太难了……安软之间差距还是有的，只不过每个用户能sample的案例太少了，很难感受得到，也反过来让一些不负责的厂商得以继续生存
勒索病毒早年就有，其实fake av也算骗钱的一种，但ransomware是更无耻的做法。这两种的共同点在于和常见软件行为很难区分。例如ransomware基本行为是遍历文件，读取文件，加密，写入。其中读取和写入都很难和正常文件区分（都是那几个syscall），是否加密这种判别更是图灵不可解问题。因此为了控制误报只能束手束脚查杀了（例如仅提取行为关联进行判识，但行为修改后就很难查出来）。总的来说是为了易用性不得不做出的牺牲
对于具体的诱导方法我也不太清楚，没读过相关文章。我认为应该是虚拟环境后通过syscall的方法进入入口点。你要是感兴趣我可以给你point一些代码

B100D1E55

灭灭之痕 发表于 2017-2-11 13:24
不过话说回来，就WD的这个开发进度我也的确是有点醉啊。干脆开发病毒的直接先侦测一下系统，如果是win10直 ...

win10的QA真的太差了太差了太差了，估计是成本考量，我也是非常失望。叫Insider测真是挫到不能再挫的决策，Insider的平均水平决定了根本不可能达到专业QA的测试质量
我一开始测这个的时候已经做好了嗅探不到固定用户名的准备（本来打算如果用户名没有漏洞，就不写这篇了），结果没想到真的这么挫。总有人辩护说不要对免费预装的WD有过高期望……我觉得当务之急是要突出WD的局限性，让有需求的人赶快选择比较靠谱的防护软件。说实话我本来还想就算用户名固定，会不会是程序员的男/女朋友的名字，结果真是没想象力

灭灭之痕

B100D1E55 发表于 2017-2-12 02:01
我个人认为安防终极就是不需要用户过分操心（例如收到未知文件能马上放心打开，而不是不停揣测是不是毒） ...

终极目标真的很难，甚至即使现在的卡巴BD都未能展现出明显的苗头，在一些大型企业里面，权限和访问控制相比个人PC上来说只高不低，相比起来简直比我们还“窝囊”，企业层面搭建的防护肯定比个人要更加全面，尚且无可奈何，只能说终极目标真的是很远很远。当然我觉得这个原因倒不是因为杀毒软件不够努力，而是相关的科学理论还没有真正实现得那么彻底。所以我其实不是很喜欢免费的杀毒软件，就是担心他们如果被用户大规模接纳以后得过且过毫不用心，好在现在360还算靠谱一些，如果当初发起免费化运动的是瑞星，我现在简直不敢想。
按照你的说法，这种勒索病毒的确有点厉害，倒不是说技术有多么高明，只是正好徘徊在杀毒软件无法确认的边缘。我觉得现有和比较合理的方案还是主防+白名单的措施，高性能下的动态启发似乎也能有效果，但是因为某些大家都懂的原因只能说呵呵。
有相关代码吗？我挺像看的，多谢支持。

灭灭之痕

B100D1E55 发表于 2017-2-12 02:07
win10的QA真的太差了太差了太差了，估计是成本考量，我也是非常失望。叫Insider测真是挫到不能再挫的决 ...

没错啊，win10的开发真的让我大跌眼镜啊，完全就像是一个不完整的系统，一点都不省心。用win7是我故意用到宕机，用win8是我知道有问题会导致它宕机，用ubuntu我不知道它为啥宕机但是它能给我个说法，用win10有时候宕机真是莫名其妙。只能说整体来说“够用”……虽然我能理解追求“够用”的人的想法，但是我觉得也真的需要有一群人比较爱较真，要不然厂商真的会放水，你看现在不少大厂的产品给人的感觉是像英特尔那样挤牙膏，做点小改进就开心吹牛逼，真的让人很失望。有时候真的觉得，技术实在没法创新搞一些多样性也行，多样性实在做不了那就优化做好一点也行。
不过话说回来，感觉AVC和很多评测用WD做底线还真是有道理，但是我觉得还不够，下一次应该用上次最差的一款做底线，干脆让微软跌倒tested等级去，让大家知道这玩意相比各大安软还是比较菜的……我就想知道，要是有一天WD被ClamAV超过了，会有多神奇。

B100D1E55

灭灭之痕 发表于 2017-2-12 09:38
没错啊，win10的开发真的让我大跌眼镜啊，完全就像是一个不完整的系统，一点都不省心。用win7是我故意用 ...

英特尔也挺冤的……挤牙膏后面的大背景是摩尔定律的破灭外加传统架构研究已经达到了瓶颈。如果你有关注过相关学界就知道现在传统架构学界单核IPC改进能有10%就已经是了不起的成果，有的还欠缺实用性。商业化还要考虑成本、设计复杂度以及良品率，不是想挤出牙膏就能挤出来的——这些问题在软件领域其实都要好很多。做硬件远比做软件的可怜，软件出了问题还能补丁，硬件出了问题大多只能召回，所以做非商用软件的QA也水很多
代码链接私信给你了

灭灭之痕

B100D1E55 发表于 2017-2-12 11:59
英特尔也挺冤的……挤牙膏后面的大背景是摩尔定律的破灭外加传统架构研究已经达到了瓶颈。如果你有关注过 ...

英特尔是有点冤，之前在知乎上简单了解过，的确是现在比较难了，而且英特尔其实已经非常牛逼了。不过大家说挤牙膏一般来说就是觉得英特尔明明可以给出10%的提升，却要压缩到5%那种……也无奈农企自己搞不上来，英特尔就算有突破，也可以慢慢挤，反正差距还挺大的。
软件我觉得坑也多，很多软件的优化真心可以说是无优化或者负优化水准，特别是安卓系统下的某些……
多谢提供代码！