Re: [問題] 防毒軟體無效論

看板NetSecurity (資安資訊安全)作者DINJIAPC (鼎哥)時間2天前 (2025/04/14 14:05)推噓0(0推 0噓 32→)

留言32則, 2人參與討論串2/2 (看更多)

※ 引述《trkotaco ()》之銘言： : https://pse.is/7djbf5 : 大家都知道virustotal 這個網站 : 那問題來了，寫病毒的人會先放上去掃一掃 : 根據結果在來修改，改到沒偵測 : 不就行了，能放出來了 : 真正有效的防毒好像是公司用的，一年要好幾萬那種，卡巴諾頓小紅傘 shphos : 這些都只認有沒有合法憑證，有的話放行， : 沒有的擋下來，像是按鍵精靈早期防毒會一直叫 : 現在都不會叫了，但是軟體本質不變啊！ : ----- : Sent from JPTT on my Google Pixel 8a. 防毒軟體說白了就是一個黑名單過濾機你說那我是不是一直修改就能通過? 結論為既是非是 1.VT並不是只呈現結果而是自動樣本收集器且各家廠商的處理效率有的落差很大在成熟的機器學習使用前的年代就有很多廠商在用9800GTX在訓練分類器了(比如卡巴 AVAST AVX) 有的小廠只會模仿傳統大廠的偵測結果，當如今都使用機器學習分析(賽門 Wwbroot 微軟 )情況下，一個惡意程式有效的使用時間可能僅有幾分鐘攻擊者頻繁的修改並上傳會讓這些廠商更容易摸清你修改樣本的惡意用途方向，再來就看取樣的特徵可以撐多久達到通殺也因為各家的判斷標準有差異你會發現有些廠商不肯加白有些則根本不入庫 2.很多防毒軟體並不處理事後感染在windows 8之後就沒有實際能夠在不斷複製自身的惡意程式出現了有沒有防毒被過的例子? https://www.mobile01.com/topicdetail.php?f=508&t=7093454 上面就是了，只是我還是要說就算你把那個執行檔回報也確定加入黑名單不代表防毒還能從被感染的電腦中分離識別作怪的衍生物我舉的例子中不是每一家廠商都能精準移除被增加的排程刪除要被執行的主程序就像有人要拿餐具殺人，守衛要處理的是可疑的嫌犯而不是要大家都把路人目標等有價值的任何東西都藏起來還要能時空回朔在系統有了重置功能後基本上防毒軟體已經不再負責系統修復這塊了因為不管你如何刪除或修改註冊表定不會比映像恢復更確實有效 3.為何誤報可以被解除:參考 (http://tw.vrbrothers.com/qmacro/usermanual_local/faq/faq-shadu.htm) 一個軟體是否被列入黑名單要看引擎靜態或動態分析源代碼的特徵有相符到甚麼程度如果再加入執行行為的分析誤報率會減小很多因為一個程序他在電腦裡跑起來的動作是連貫的如果你每一個操作都要設監視點就成了hips單步而從開始後觀察到某一步要完全符合才會攔截終止運行則叫多步行為防禦黑名單不只限於白紙黑字定義安非他命當然可以指定為有夾鏈袋又看起來是白色粉末或剛由哪些地區登機的人所帶對單一個對象物件來說加入例外來排除這不是多難的事情你若說我可不可以精靈來幹壞事? 這就為什麼有些廠商不肯排除的原因之一等於你用白名單在作弊.而這也是為何會有各種EDR XDR 還要你綁硬體防火牆成套檔你作怪的原因。參考: https://bbs.kafan.cn/thread-2181276-1-1.html https://bbs.kafan.cn/thread-2256953-1-1.html -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.230.131.1 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1744610744.A.36B.html

→