查看: 5250|回复: 15
收起左侧

[费尔] 杭州网警封杀费尔后续报道

[复制链接]
hanks4587
发表于 2007-3-16 19:40:44 | 显示全部楼层 |阅读模式
原争论帖子 http://bbs.hzva.org/viewthread.php?tid=41965

为此我争取了一个官方的回复并粘贴到该论坛 一小时后即被封杀 并被戏称费
尔枪手和马甲
-------------------------------------------------
这个文章已经读到,有些争议,有些用户的回复是非常不错的,我在这里真的不想太说多少,因为有些确实是“自以为了解很多”,但实际上...呵呵...,从事这个研究的高层专业人员可能都会明白的。也有一位关心的用户已经询问这个问题了,我的答复是下面的内容,不过除非必要实在不想再参与这场没有意义的争辩了 ^_^ :
> >> >
> >> > 我所指的关键字非一般意义上的关键字,而是一种广义上的关键字。在反病毒术语中,它会称作为“特征串”和“特征字”,这里我们统称为“关键字”,因为它们都是提取病毒体中的一些“关键点”和具有代表和唯一性的“片断”,因此从软件学或数据库学上讲它们就是“关键字”,关键字概念可不是几个字符而已那么简单。
> >> >
> >> > 所谓“行为特征执行码”和“动态的行为特征过滤与扫描技术”,在病毒扫描技术文献中我没有见到过,可能是文章作者自己的理解吧,不过可以理解所述的大概意思。与上述不同的技术根本所在就是“行为监测法”,这一点在我的上封信中也有说明,确实行为特征扫描法在早期就有,而在windows时代已经发展到目前比较流行的主动防御的思想,而这种技术在费尔中已经采用,而且动态防御部分的核心就是这部分。
> >> >
> >> > 实际上不管喜欢不喜欢,愿意不愿意,现在的防毒软件仍然在采用着关键字技术,再强调一下,这里的关键字非彼关键字。如果喜欢可以称它为“特征串”或“特征字”。即使有防毒软件使用了“行为监测法”来扫描病毒,但仍然离不开关键字扫描。否则很难稳定,也不成熟。
> >> >
> >> > 确实,关键字+行为特征扫描技术的运用才是将来防毒软件的发展趋势,而且费尔早已经在使用这些技术了,关键字在这里就是病毒库,行为特征扫描技术就是主态防御部分,其中也有行为特征库。不仅如此,费尔还运用了启发式扫描技术、病毒免疫技术等等。所以费尔病毒扫描技术这方面其实已经走得很靠前了。
> >> >
> >> > 文章中所说的“举个例子:如果一个人用关键字BOOT通过WIN下的搜索,把病毒在WIN下生成的BOOT文件全部手动删除,那么就可以说这个病毒都已经清除了吗?!笑死人了.)”,不,恰恰相反,这个例子确实很形象的解释了关键字技术的扫描原理,不用笑,确实是那么回事。但关键是关键字的选择上不是那么简单的只用“BOOT”。而是一个复杂的串或者关键字组合,甚至是更复杂的逻辑关系组合。所以世界上有一个著名的病毒测试代码就是“X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*”,把它复制粘贴到任何一个文本文件或者其他文件中就应该被防毒软件报告有毒,不报告者就认为防毒软件不太成熟,虽然不能以此绝对判断软件性能,但至少说明一点就是:说白了这是在测试一个防毒软件的关键字扫描法。也是在测试它的病毒库。我想可能很少有防毒软件不会对这么一串字符不报吧,难道说报告有毒的软件都是垃圾吗。
> >> >
> >> > 对于含有病毒代码的网页报毒这方面我们可以考虑改进,但这并表示在原理和思想上是有错误的,更不能说明这种扫描技术有问题。实际上有些软件不报告,复制到文件再报告并不说明它们没有使用这种技术,而是它们只是简单的再加几个约束关键字来约束成立的条件而已。但如果把文件扩展名改成htm才报告,改成其他的不报告,那么你就认为是“哇,好牛”,但怎么不可以反向理解为“哇,防毒软件竟然会以扩展名或文件名来确定是不是病毒,是不是太差劲了!”。而且,如果遇到一些病毒变种会加一些干扰内容,那这时它们是不是也不会报告了呢。
> >> >
> >> > 如果对这方面比较感兴趣的话,建议多读一些反病毒技术的资料,甚至是数据结构,多了解一些相关的基础知识。而且要真正的理解其中的意思,不要被一些花哨的现代词藻蒙蔽,因为有些东西听起来感觉是挺先进的技术,但实际上真正的研究者和业界人都了解,那些东西只是说给别人听或用来炒作的,说白了还是基础东西的变形罢了,甚至没有一点新意。附件中有一些反病毒技术的资料,这是反病毒技术的一些基础知识,你可以参考。不管喜欢或不喜欢,接受或不接受,关键字扫描技术确实是一种“最为普遍的查病毒方法”。
-------------------------------------------------
诸位对此有何高见?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
aoyang
头像被屏蔽
发表于 2007-3-16 19:50:18 | 显示全部楼层
他一再的坚持我用了马甲,没办法。
本论坛的mofunzone和chow2006在那边被说成是我的马甲 它自以为是什么高手了。我吐。


[ 本帖最后由 cbz107 于 2007-3-16 20:30 编辑 ]
aoyang
头像被屏蔽
发表于 2007-3-16 20:02:05 | 显示全部楼层
楼主的帖子原帖应该是这样:我只知道那个家伙说的不对,但是语言表达能力不强,为了在发帖的时候周密严谨一点,于是就发邮件请教费尔的朱老师。
下面是就是杭州志愿者论坛的回复。
"关键字"根本就不是什么技术,使用所谓的"关键字技术"充其量只是删除了恶意程序在WIN下生成的文件,而对恶意程序写进注册表里的键值和形成的进程根本就无能为力!(举个例子:如果一个人用关键字BOOT通过WIN下的搜索,把病毒在WIN下生成的BOOT文件全部手动删除,那么就可以说这个病毒都已经清除了吗?!笑死人了.)

      对于一个成熟的安全软件来说,其使用在安全库里的是行为特征执行码,在病毒木马一体化与木马全端口化以及无进程化趋势越来越明显的今天和未来,安全软件借助的是动态的行为特征过滤与扫描技术.


     楼主所谓的"现在的防毒软件只要是基于病毒扫描特征库的基本都要采用关键字技术(基于行为性的防毒软件除外),即使那些具有脱壳和虚拟机技术的防毒软件,在进行一系列的脱壳和跟踪后最终要确定对象是不是病毒时仍然要采用关键字技术来匹配。包括MD5值匹配说白了也是一种关键字技术,现在的防毒软件基本都在使用它,"...."现在所有具有扫描能力的防毒软件,它们的主流扫描算法都是有采用关键字匹配技术。无论是对网页病毒还是二进制文件病毒都要使用这种技术。基于非关键字的行为性的技术目前多被用于辅助部分,而关键字仍是主要部分。"..."使用关键字技术来扫描病毒是非常科学和合理的,这是防毒软件界通用和成熟的方法."纯碎是
外行人说内行话\胡说八道!!!!

下面是朱老师的话,我把原文复制下来发在杭州志愿者论坛,被那边一群人嘲笑说是外行人胡说八道,晕哦,看来它们是一群无知者。他们不允许有它们不同意见的声音。

主    题:Re: 有一个小建议和问题[全屏] [打印] [邮件头]
日    期:2007/03/14 22:08:22   
发件人:"Filseclab.TOM" <filseclab@tom.com> 添加到通讯录 拒收
收件人:"敖" <我的邮件地址,隐藏掉>
附    件:     
扫描法.txt(4B)   


您好:

对于这种言论我真不想再多说了。我所指的关键字非一般意义上的关键字,而是一种广义上的关键字。在反病毒术语中,它会称作为“特征串”和“特征字”,这里我们统称为“关键字”,因为它们都是提取病毒体中的一些“关键点”和具有代表和唯一性的“片断”,因此从软件学或数据库学上讲它们就是“关键字”,关键字概念可不是几个字符而已那么简单。

所谓“行为特征执行码”和“动态的行为特征过滤与扫描技术”,在病毒扫描技术文献中我没有见到过,可能是文章作者自己的理解吧,不过可以理解所述的大概意思。与上述不同的技术根本所在就是“行为监测法”,这一点在我的上封信中也有说明,确实行为特征扫描法在早期就有,而在windows时代已经发展到目前比较流行的主动防御的思想,而这种技术在费尔中已经采用,而且动态防御部分的核心就是这部分。

实际上不管喜欢不喜欢,愿意不愿意,现在的防毒软件仍然在采用着关键字技术,再强调一下,这里的关键字非彼关键字。如果喜欢可以称它为“特征串”或“特征字”。即使有防毒软件使用了“行为监测法”来扫描病毒,但仍然离不开关键字扫描。否则很难稳定,也不成熟。

确实,关键字+行为特征扫描技术的运用才是将来防毒软件的发展趋势,而且费尔早已经在使用这些技术了,关键字在这里就是病毒库,行为特征扫描技术就是主态防御部分,其中也有行为特征库。不仅如此,费尔还运用了启发式扫描技术、病毒免疫技术等等。所以费尔病毒扫描技术这方面其实已经走得很靠前了。

文章中所说的“举个例子:如果一个人用关键字BOOT通过WIN下的搜索,把病毒在WIN下生成的BOOT文件全部手动删除,那么就可以说这个病毒都已经清除了吗?!笑死人了.)”,不,恰恰相反,这个例子确实很形象的解释了关键字技术的扫描原理,不用笑,确实是那么回事。但关键是关键字的选择上不是那么简单的只用“BOOT”。而是一个复杂的串或者关键字组合,甚至是更复杂的逻辑关系组合。所以世界上有一个著名的病毒测试代码就是“X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*”,把它复制粘贴到任何一个文本文件或者其他文件中就应该被防毒软件报告有毒,不报告者就认为防毒软件不太成熟,虽然不能以此绝对判断软件性能,但至少说明一点就是:说白了这是在测试一个防毒软件的关键字扫描法。也是在测试它的病毒库。我想可能很少有防毒软件不会对这么一串字符不报吧,难道说报告有毒的软件都是垃圾吗。

对于含有病毒代码的网页报毒这方面我们可以考虑改进,但这并表示在原理和思想上是有错误的,更不能说明这种扫描技术有问题。实际上有些软件不报告,复制到文件再报告并不说明它们没有使用这种技术,而是它们只是简单的再加几个约束关键字来约束成立的条件而已。但如果把文件扩展名改成htm才报告,改成其他的不报告,那么你就认为是“哇,好牛”,但怎么不可以反向理解为“哇,防毒软件竟然会以扩展名或文件名来确定是不是病毒,是不是太差劲了!”。而且,如果遇到一些病毒变种会加一些干扰内容,那这时它们是不是也不会报告了呢。

如果对这方面比较感兴趣的话,建议多读一些反病毒技术的资料,甚至是数据结构,多了解一些相关的基础知识。而且要真正的理解其中的意思,不要被一些花哨的现代词藻蒙蔽,因为有些东西听起来感觉是挺先进的技术,但实际上真正的研究者和业界人都了解,那些东西只是说给别人听或用来炒作的,说白了还是基础东西的变形罢了,甚至没有一点新意。附件中有一些反病毒技术的资料,这是反病毒技术的一些基础知识,你可以参考。不管喜欢或不喜欢,接受或不接受,关键字扫描技术确实是一种“最为普遍的查病毒方法”。

谢谢,祝好!

朱雁冰
---------------------------------
费尔安全实验室
网站: http://www.filseclab.com
邮箱: filsoft@filseclab.com

----- Original Message -----  
From: "敖" <我的邮件地址,隐藏掉>
To: <filsoft@filseclab.com>
Sent: Sunday, March 11, 2007 5:17 PM
zzh161
发表于 2007-3-16 20:12:01 | 显示全部楼层
晕了,楼主也不要生气,他们那边对那个网警已经达到了崇拜的境界,光等着要规则包了,我也懒得注册发帖,到时候说我是马甲 。说实话,人家那边支持瑞星么,就像我们这边骂瑞星的多一样。我就非常纳闷,那个论坛有多少人真正懂得杀软。我觉得要厉害的杀软只有两条路,要么学习卡巴,心狠手辣型,要么学习咖啡,铜墙铁壁型。他们觉得瑞星今天能脱几个主流壳就厉害,我就纳闷了,咖啡脱壳厉害么?为什么没有人说咖啡垃圾?明显,杀毒理念不同。说实话,杀毒软件的最终目标是不是不让电脑中毒,卡巴能杀干净,咖啡能防的住,大部分人都说他们好,这就说明不管你用什么方法,只要达到目标就是好的。现在我们这里用了费尔觉得好的,我们就继续坚持下去,也没有必要说其他什么。说实话,他们那个论坛真的没有气量,这样就禁言,而且我并没有从那个网警的帖子里看出什么有技术含量的东西来。说句纯感情色彩的话,绅博这种大论坛都能跟费尔合作,相信费尔差不到那里去。想要做一件事情让所有人都认可是不可能的,只要让大部分人满意就已经是成功了
aoyang
头像被屏蔽
发表于 2007-3-16 20:14:56 | 显示全部楼层
我奇怪的是楼主是从哪知道的这个帖子的。
这个帖子是我在那边半夜发的,第2天一早我就发现早放回收站了。
本来都已经忘记这事情了,没想到你发了帖子提到了这个。
这个是前几天的原文,我在那又注册了ID发了一次
http://bbs.hzva.org/viewthread.php?tid=42362&extra=page%3D1

[ 本帖最后由 aoyang 于 2007-3-16 20:29 编辑 ]
cbz107
发表于 2007-3-16 20:31:07 | 显示全部楼层
原帖由 aoyang 于 2007-3-16 19:50 发表
他一再的坚持我用了马甲,没办法。
本论坛的mofunzone和chow2006在那边被说成是我的马甲 它自以为是什么高手了。我吐。

这么多马甲……实话说……我是theone的马甲

你的帖子被我编辑过 刚刚做上版主,想引用你的话,点到了编辑
aoyang
头像被屏蔽
发表于 2007-3-16 20:31:30 | 显示全部楼层
哈哈
发帖子不到一分钟又进了回收站

最近的五条主题
标题状态论坛最后发表
春林进来看(网警也可看)回收站 防火墙自定义规则2007-3-16 20:26 by ay24



最近的五条回复
标题状态论坛最后发表
本论坛或指定的范围内尚无主题。



没什么好说的,只能说它们是一群无知者。算了,让那群傻瓜去吧
cbz107
发表于 2007-3-16 20:43:37 | 显示全部楼层
消消气……网络嘛,什么蛛蛛都有
chow2006
发表于 2007-3-16 20:53:39 | 显示全部楼层
有位饭友说过: 用自己的杀软,让它们中毒去吧(大概这意思)

呵呵,楼上(7楼)的也不必去较真了,因为跟对牛弹琴没什么区别

[ 本帖最后由 chow2006 于 2007-3-16 20:54 编辑 ]
cbz107
发表于 2007-3-16 21:03:44 | 显示全部楼层
原帖由 chow2006 于 2007-3-16 20:53 发表
有位饭友说过: 用自己的杀软,让它们中毒去吧(大概这意思)

呵呵,楼上(7楼)的也不必去较真了,因为跟对牛弹琴没什么区别

如果没有记错,那句话是金剑作者说的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-25 04:55 , Processed in 0.133692 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表