金山网购保镖拦截木马诈骗的典型场景

kmelon

我是捧场的，铁兄弟果然无处不在无所不恩能……

tiejun

langsileaa 发表于 2011-4-21 12:57
一直有个疑问想问问铁大官人，既然在这里出现了，可否给予解答下？
通过让金山网购保镖失效的手段，然后再 ...

你需要想的是，在用户真实受害场景。而不是普通场景，比如设计一个程序，运行后可以令杀毒软件被关闭。请特别注意，是运行后的场景。

而网民在购物时，如果可以通过某种机制，在网民运行网购木马前，就准确判断这是危险程序，立即提醒买家停止运行，上当受骗的过程就不能发生。

微软曾有过一个系统安全10条，其中有一条我记得，如果你允许黑客在你的电脑运行程序，那这台电脑便不属于你了。

tiejun

ydhjwdj 发表于 2011-4-21 13:03
回复 1楼 tiejun 的帖子

写的很好，也很形象！顺便问下官人，有没有正常的可信软件因其读取一些文件而导致 ...

通常文档是很少藏毒的，现在有些定点攻击的DOC或Xls或swf存在这样的风险。打开这些特定的文件，会释放木马。

tiejun

回复 11楼 289727526 的帖子

会，有启发式分析来对付网购木马，成功率比较高。

tiejun

yhys 发表于 2011-4-21 15:48
看主题貌似不在白名单中就会报。

非白即黑是个不错的策略。

langsileaa

回复 22楼 tiejun 的帖子

如果这么说，那问题就来了：
1.准确判断运行程序是危险程序如何做到？黑白名单？
2.网购的人都不希望自己的电脑让黑客运行程序，但真实场景这个不是受网购者意愿控制的。
3.前几天360网购就出现过检测机制的方法。对于金山网购，我相信同样存在，所以话别说的太满。
4.是我重点想知道的，我的意思不是关闭金山网购，而是使它失效，在用户看来，没有任何异常，但程序检测机制已无效果。

tiejun

langsileaa 发表于 2011-4-21 19:03
回复 22楼 tiejun 的帖子

如果这么说，那问题就来了：

1.最核心的仍然是云鉴定，99秒内准确鉴定的结果会立刻拦截这个骗子再继续骗人。这骗子做个新样本出来，未必只要99秒吧。

2.在实际案例中，骗子发的文件会被立刻拦截。除非那个收文件的人太傻，听骗子的，把毒霸关了，继续打开。我可以透露的是，骗子发给买家的程序文件会100%被立刻收集。

3.我们的网购保镖做得还多一层，就算买家真听骗子的运行了程序，我们也能做到钱不会转到骗子帐号，而是转给支付宝。这种情况下，骗子是拿不到钱的，除非他真的把这笔生意做了，发个货给买家。

4.如果你能欺骗买家关闭毒霸，再运行病毒，那就有可能运行一个破坏杀毒软件的程序来实现木马的其他功能。这种情况尚未发现。

664208940

支持一下

langsileaa

回复 27楼 tiejun 的帖子

99S这个玩意SP7内侧出来我就测试了。99S准确鉴定是限定云端有匹配微特征。如果没有，还不是需要上传样本到云端，然后云端在99S内进行分析，分析出结果返回客户端，分析不出转人工鉴定。铁官人的理论完全建立在云端可以实时分析出的基础上，却刻意回避转人工部分，以及云鉴定错误鉴定的可能性。 还是把话说的太满...
可能铁官人做宣传久了，这个问题再没讨论的必要，最后谢谢铁官人的回复。

z13667152750

回复 29楼 langsileaa 的帖子

铁军在sina的认证微博,介绍中有一句:仅代表个人观点