查看: 7186|回复: 24
收起左侧

[讨论] CCleaner和安全软件

[复制链接]
B100D1E55
发表于 2017-9-22 12:14:40 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2017-9-22 12:30 编辑

收集了前几天闹得沸沸扬扬的CCleaner样本,锁库的ESET和Cylance自然都没侦测到。不过使用最新的病毒定义+联网后发现ESET杀了我手头的两个样本,Cylance只杀了一个(拉黑不够努力)。
是因为数字签名所以杀软没看见么?我尝试修改了文件让数字签名无效(随便填了几个0),发现两个锁库的快照均未报毒。

但是测试两个产品最新毒库的时候出现了有趣的现象:ESET对修改过的样本依旧报毒,但是Cylance不吱声了(联网状态下)。看来Cylance仅仅是晕拉黑了Hash

当恶意软件紧密内嵌在正常程序中的时候,基于“统计”的“神经网络”的杀毒很可能就无法区分其和正常文件的区别,修改检测模型来适应少部分样本也相当困难。作为补救措施,他们选择了hash拉黑,但靠Hash拉黑的效果你也看见了……看来Cylance还需要继续努力。

回头说说我个人对这次事件的看法:

基于行为侦测的自动机在这次侦测CCleaner毒上也是困难重重。因为原始无害版本已经包含很多常见“有害”行为,例如AV注册表侦测、系统固件版本读取、隐私信息扫描——这既可以是一个清理软件应有的行为,也可以是一个信息盗窃软件的行为。你可以尝试随便上传一个正常的ccleaner到公共沙盘上,标出的可疑行为不是一个两个。(目前看到正常/恶意ccleaner的显著区别仅在是否有异常网络访问行为上)
而当这件事情爆发的时候,AV厂商集体噤声也情有可原了,谁会想到之前恐怕还需要特别白名单关照的软件一下成为了黑名单上的软件?况且还有有效数字签名……

这件事侧面说明了一些看起来“密不透风”的防御手段的局限性。有人认为HIPS走训练模式,训练后对所有未知程序禁运就可以高枕无忧。试问,如果安装CCleaner这种大众软件的时候是禁运还是不禁运?当CCleaner申请扫描磁盘敏感路径的时候是允许还是不允许?看到数字签名的时候会不会放松警惕?很多看上去安全的手段并没有你想象的那么安全。

同时也看到了黑客的狡猾,将信息盗取软件嵌入一个正常情况下也会“扫描隐私”的软件,真是让普通用户无奈、安全厂商无奈

评分

参与人数 2人气 +2 收起 理由
fireherman + 1 加分鼓励
HEMM + 1 姐姐的看法真是最佳看法惹~

查看全部评分

LAnubis
发表于 2017-9-22 12:17:20 | 显示全部楼层
只能说现在的杀软还不是很智能
B100D1E55
 楼主| 发表于 2017-9-22 12:25:48 | 显示全部楼层
LAnubis 发表于 2017-9-22 12:17
只能说现在的杀软还不是很智能

我觉得这次这个事情基本上已经是靠近机器自动判别精准度的那条红线了,不靠人肉分析很难看出问题
cloud01
头像被屏蔽
发表于 2017-9-22 12:55:31 | 显示全部楼层
本帖最后由 cloud01 于 2017-9-22 12:57 编辑

卡巴斯基把WISECARE365文件粉碎动作当作勒索,诺顿我记得一个月前用这个恶意版本会报毒的,卡巴也是比较负责的,所以也建议杀软和这种清理优化软件合体,大家都好,eset我已经建议过了 ,已经开始加入这些功能了,卡巴斯基也有了,avast也有了。eset的查杀技术确实是信仰,不是随便出来一个公司能颠覆的,只是自身HIPS需要改进下。慢慢等了。你可以跟ESET官方沟通下。
nonote
头像被屏蔽
发表于 2017-9-22 13:01:04 | 显示全部楼层
主要是有白名单所以即使有问题也查不出来。
还有一种情况是黑名单,不管有没有毒,先杀了再说
LAnubis
发表于 2017-9-22 13:14:08 | 显示全部楼层
B100D1E55 发表于 2017-9-22 12:25
我觉得这次这个事情基本上已经是靠近机器自动判别精准度的那条红线了,不靠人肉分析很难看出问题

好想念大微点啊 即使它啥也查不出来  在下面转转 我也是心安的
GreenCodes
发表于 2017-9-22 13:20:21 | 显示全部楼层
恶意软件和正常软件的根本区别是开发者的目的,就算这次防住了,下次遇到监守自盗的还是懵逼
HEMM
发表于 2017-9-23 04:30:29 | 显示全部楼层
本帖最后由 HEMM 于 2017-9-23 04:44 编辑

HIPS也可以对可信程序进行限制,本来HIPS就是靠自己制定判断。
不过某些程序你要用那么只能放弃对它的限制,比如某通讯软件和其游戏,能作的限制很有限,最多本地清静掩耳盗铃~
对于这些个辅助工具,暴力的土办法就是禁止联网= =,对于信誉较高的一般懒得管制,至少限定联网只能与更新服务器连,以外的网址段都屏蔽,这还出事,那么这个可信软件可以告别你的视野了。
软件最好到官方平台或者可信第三方平台下载。
CC.......被微软工程师说的一钱不值,但是实际上还是有些微作用的,至少可以清理掉些烦人的临时文件,微软也可以做到,不过很粗,不可定制,且更新后,清理那个更新安装文件过程极其漫长,你可以说是为了稳定,但是效率低下的令人发指。可定制差,清理某些文件耗时过长,才让人转头第三方。大微总认为自己的东西全是精华,都是提供的最好的,但是它不了解不同的人有不同的需求,强硬霸气!它家平台它说了算。
CC这次的事情,不能说付全责,但是发布前都不审核,发布后都不核对的?
安软都是对市场信誉较好,且有一定市场规模的软件直接白,不白!它家的粉丝分分钟前来手撕你。
恶意程序本来就是有利益驱动,种类多样,花式钻空。
不能全部指望安软,安软是防护的前哨,是救命的稻草。下载下来的软件无论信誉好坏做点限制吧= =,保不准有第二个第三个CC没被发现惹。不做限制的只有系统运行必要的文件,以及信誉良好的应用必要的行为,额外的行为都给永久禁掉。接下来就看该信誉良好的软件如何维持自己良好的形象惹= =
如果嫌麻烦,至少要把联网给控制控制,这也懒得做,除非该可信软件真是可信到永久保质惹........

评分

参与人数 1人气 +1 收起 理由
fireherman + 1 好9不见

查看全部评分

fireherman
发表于 2017-9-23 07:48:45 | 显示全部楼层
HEMM 发表于 2017-9-23 04:30
HIPS也可以对可信程序进行限制,本来HIPS就是靠自己制定判断。
不过某些程序你要用那么只能放弃对它的限制 ...



我就是这么干的。

一个清理本地系统残余的工具,联网想干嘛?更新?自动更新?

我自己会去做。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
KK院长
发表于 2017-9-23 07:51:41 | 显示全部楼层
有数字签名的软件+扫描垃圾功能 软件有几个可以分的清,其实如果 软件有后门练网最多靠防火墙封一下,一般人,
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 18:32 , Processed in 0.130229 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表