对贝壳木马专杀的疑问，及由此引出的对云安全的思考

jason_jiang

而是某病毒发作后的残留，既然这样那这就是交给清毒流程去搞定了。
     提起文件名突然想到很多木马病毒发作时都有特殊文件在特定或非特定位置产生，那么杀毒时只需看有没有这些文件就可以了，在快速杀毒的时候很有效的方法
jefffire 发表于 2010-4-9 16:42

avira V10的generic repair
http://bbs.kafan.cn/thread-667863-1-1.html

jefffire

回复 31# jason_jiang


    红伞这个逻辑有问题，如果监控查询可疑文件内部文件名，再根据这些文件名去去扫描那些辅助文件，其前提是这些文件被释放了。但如果那些释放文件真的有毒，监控早就应该拦截了。不会等到查询到这个组件中的关键字再去搜索。因此，这个设计似乎在扫描中稍微有用处一点点，前提是原扫描范围没有指定到扫描可能这个被查出的可疑文件之外，可以借此跳转到其他位置扫描病毒的残余成分。

bbcallen

不考虑员工情绪，职业发展，身体健康，家庭矛盾，山口山副本刷新等等非技术因素。

假设一个病毒分析员一天可以纯人工分析100个样本(有病毒，有正常文件)，那么仅考虑中国大陆每天新增的样本，就至少需要上千个病毒分析员来分析病毒，提取特征，排除误报。

以此来推断，现在还活着的，上得了台面的安全公司，没有不用机器分析的。

至于特征码，MD5，文件名，启发式，不过是如何将这些分析结果推送给用户的手段罢了。

当然也可以说特种兵割喉是很有艺术性的手法，但是拿云爆弹犁地，同样是省时省力。
安全从某一点来看，的确是技术问题，但是，一个安全软件，却是一个工程问题。

就算只是文件名，一样可以玩出花来，比如 文件名的模式识别，比如 NameRank(类比PageRank)，并不只是字符串匹配那么乏味。

英仔

貝殼據說是由"采取了几个杀软的组合扫描，有报的他就报"

白羊座

回复 30# jefffire


    熊猫是行为分析？行为分析要本地缓存作甚？

bbcallen

回复 34# 英仔

如果真的这么简单，那误报会吓死人的。

英仔

回复 36# bbcallen


   " 只不过其筛选了国内比较常用的杀软：毒霸、瑞星、卡巴斯基、Nod32、小红伞、Mcafee，只要其中一款软件发生误报就会误报。"

bbcallen

光小红伞的误报就可以吓死人了...

jefffire

回复 35# 白羊座


    不是，他的意思是上报后，样本使用了虚拟机行为分析的方法进行判别

jefffire

回复 33# bbcallen


    问题是，贝壳这个分析太不靠谱了，木马全当安全文件，我想这样的机器分析也实在那啥。。。