作者DINJIAPC (鼎哥)
標題Re: [問題] 防毒軟體無效論
時間Mon Apr 14 14:05:35 2025
※ 引述《trkotaco ()》之銘言:
: https://pse.is/7djbf5
: 大家都知道virustotal 這個網站
: 那問題來了,寫病毒的人會先放上去掃一掃
: 根據結果在來修改,改到沒偵測
: 不就行了,能放出來了
: 真正有效的防毒好像是公司用的,一年要好幾萬那種,卡巴 諾頓 小紅傘 shphos
: 這些都只認有沒有合法憑證,有的話放行,
: 沒有的擋下來,像是按鍵精靈早期防毒會一直叫
: 現在都不會叫了,但是軟體本質不變啊!
: -----
: Sent from JPTT on my Google Pixel 8a.
防毒軟體說白了就是一個黑名單過濾機
你說那我是不是一直修改就能通過?
結論為既是非是
1.VT並不是只呈現結果
而是自動樣本收集器且各家廠商的處理效率有的落差很大
在成熟的機器學習使用前的年代就有很多廠商在用9800GTX在訓練分類器了(比如卡巴
AVAST AVX)
有的小廠只會模仿傳統大廠的偵測結果,當如今都使用機器學習分析(賽門 Wwbroot 微軟
)情況下,一個惡意程式有效的使用時間可能僅有幾分鐘
攻擊者頻繁的修改並上傳會讓這些廠商更容易摸清你修改樣本的惡意用途方向,再來就看
取樣的特徵可以撐多久達到通殺
也因為各家的判斷標準有差異你會發現有些廠商不肯加白有些則根本不入庫
2.很多防毒軟體並不處理事後感染
在windows 8之後就沒有實際能夠在不斷複製自身的惡意程式出現了
有沒有防毒被過的例子?
https://www.mobile01.com/topicdetail.php?f=508&t=7093454
上面就是了,只是我還是要說就算你把那個執行檔回報也確定加入黑名單
不代表防毒還能從被感染的電腦中分離識別作怪的衍生物
我舉的例子中不是每一家廠商都能精準移除被增加的排程 刪除要被執行的主程序
就像有人要拿餐具殺人,守衛要處理的是可疑的嫌犯而不是要大家都把路人目標等有價值
的任何東西都藏起來 還要能時空回朔
在系統有了重置功能後 基本上防毒軟體已經不再負責系統修復這塊了
因為不管你如何刪除或修改註冊表 定不會比映像恢復更確實有效
3.為何誤報可以被解除:參考
(
http://tw.vrbrothers.com/qmacro/usermanual_local/faq/faq-shadu.htm)
一個軟體是否被列入黑名單 要看引擎靜態或動態分析源代碼的特徵 有相符到甚麼程度
如果再加入執行行為的分析 誤報率會減小很多 因為一個程序他在電腦裡跑起來的動作是
連貫的
如果你每一個操作都要設監視點就成了hips單步 而從開始後觀察到某一步要完全符合才
會攔截終止運行
則叫多步行為防禦
黑名單不只限於白紙黑字定義安非他命 當然可以指定為有夾鏈袋又看起來是白色粉末或
剛由哪些地區登機的人所帶
對單一個對象物件來說 加入例外來排除這不是多難的事情
你若說我可不可以精靈來幹壞事? 這就為什麼有些廠商不肯排除的原因之一
等於你用白名單在作弊.而這也是為何會有各種EDR XDR 還要你綁硬體防火牆成套檔你作
怪的原因。
參考:
https://bbs.kafan.cn/thread-2181276-1-1.html
https://bbs.kafan.cn/thread-2256953-1-1.html
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.230.131.1 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1744610744.A.36B.html
1F:→ trkotaco: 其實我問過公司的it 整間公司的電腦防護軟體分攤下來一 04/14 21:59
2F:→ trkotaco: 台一年要好幾萬,是整間公司下去平分下來 04/14 21:59
3F:→ trkotaco: 我看卡巴斯基進階版放行紀錄 04/14 21:59
4F:→ trkotaco: 都是合法憑證就放行,真是見鬼了 04/14 21:59
5F:→ trkotaco: 那我直接用微軟內建不就差不多 04/14 21:59
6F:→ trkotaco: 都只看有沒有合法憑證,馬的這年代 04/14 21:59
7F:→ trkotaco: 搞個合法憑證會很難嗎? 04/14 21:59
8F:→ trkotaco: 公司的防護都監控程式動作 04/14 21:59
9F:→ trkotaco: 不管它合法或非法,不合理存取動作 04/14 21:59
10F:→ trkotaco: 一率檔,就算是window 內建還是檔,家裡電腦我還搞了三 04/14 21:59
11F:→ trkotaco: 套 全部沒用, 04/14 21:59
12F:→ trkotaco: 電腦重灌十次有了吧,家用防毒 04/14 21:59
13F:→ trkotaco: 就是個笑話,只要我都用管理員權限登入電腦並聯上網路, 04/14 21:59
14F:→ trkotaco: 對方就能搞事,window內建就一堆預設開放權限 04/14 21:59
15F:→ trkotaco: 關不完,真的關不完,currports 04/14 21:59
16F:→ trkotaco: 開下去,一堆未知連線,我看了也是無言,買了fortigate 04/14 21:59
17F:→ trkotaco: 防火墻結果不會用 04/14 21:59
18F:→ trkotaco: ,手機買了 google泰坦金鑰,還是會被同步所有帳密,只 04/14 21:59
19F:→ trkotaco: 能一直改密碼,被同步還不會有任何通知,只能自己去看, 04/14 21:59
20F:→ trkotaco: 我想 放棄了,畢竟我不是專業的,要搞懂網路七層還要時 04/14 21:59
21F:→ trkotaco: 間勒,沒那個時間跟對方搞這個,實體的防火牆又怎樣,防 04/14 21:59
22F:→ trkotaco: 毒又怎樣,遇到大尾的就等死,對方還能離線開機我的筆電 04/14 21:59
自2020後我個人不會再推薦使用卡巴作為防毒首選,個人比較建議avast或BD或eset甚至免
費板就行
卡巴是不是是有數位簽章就放行?基本上所有的防毒都是這樣的,只是卡巴ksn有自己的
一套白名單體系
參考
https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488
美國就是發現在破解版的卡巴上有ksn存取過用戶電腦檔案的紀錄
所以才全面封鎖卡巴的產品
可你告訴我pime新酷音輸入法,在沒有背書簽章前他和鍵盤側錄軟體有何不一樣?
都輸入法了哪裡不能紀錄鍵盤?明是合法的軟體卻要被針對內
如果不依賴數位簽章,你實際上光是應付hips的提示安裝一個atm轉帳的支持插件放行要
按快5分鐘的提問視窗
你能接受?你能接受那其他用戶能接受?
你要解除卡巴安靜模式?
把自動處理威脅那個勾拿掉下面的選項也都取消 hips那裡也拿掉信任數位簽章與繼承ksn
規則
就會像你公司一樣了
只是我告訴你的是 av-c的測試這10年都不可能去調成這種模式 這顯然是一種作弊
(任何對系統的操作都問你,你覺得會不會影響性能?各操作你都要掌握那還要特徵碼幹麼
)
再來就是即使你都這樣完成atm交易插件的安裝 卡巴實質上已經不在針對側錄或者瀏覽器
防護上做加強了
因為我測試後發現都錄的到!在2019年是沒問題的,而卡巴現在的解釋是只要系統有核心
隔離
那他的防護就不保證
https://www.mobile01.com/topicdetail.php?f=508&t=6162634(本人提)
https://bbs.kafan.cn/thread-2205292-6-1.html(21年本人提)
https://bbs.kafan.cn/thread-2212759-1-1.html(其他的玩家測試其他的產品)
因為只有破解產出大國說,我們不殺破解我們對低威脅惡意程式不感興趣
你的安全軟體做出交易保護功能卻各種理由推託效果時,我倒想問問諸位網管們如何感想
其實也不只卡巴。趨勢家用的安全交易
我也看不出在保護甚麼東西趨勢也從不做甚麼漏洞防止模塊,密碼代貼還要花錢買
25F:→ DINJIAPC: 是一語成讖吧,好笑的是10年後的今天賽門是被拆賣到博 04/16 10:18
26F:→ DINJIAPC: 通去,家用的諾頓僅保留了線上備份保險箱與密碼庫再來 04/16 10:18
27F:→ DINJIAPC: 就被AVast奪舍了,還改名叫Gen 04/16 10:18
28F:→ DINJIAPC: 這確實是賽門末日啊,僅比被英特爾買去再被丟出去的咖 04/16 10:18
29F:→ DINJIAPC: 啡好上一點而已 04/16 10:18
30F:→ DINJIAPC: 拆分賣掉自己的實驗室企業與技術開發然後換得五家安全 04/16 10:18
31F:→ DINJIAPC: 公司與品牌這樣有比較高明? 04/16 10:18
32F:→ DINJIAPC: 即3A諾頓 Bullguard F-s均是一家 04/16 10:18
33F:推 trkotaco: 一家拆成五家 04/16 19:48
34F:→ trkotaco: 這樣算技術夠強才能這樣拆吧 04/16 19:48
現在Gen和博通鐵克毫無關連了,ips 實驗室技術研發都在博通那裏
在台灣有技術能力的代理廠商就剩勘楊和棋聖而已,可憐泉琨合作的原廠幾乎都
來亂的。
※ 編輯: DINJIAPC (1.165.141.158 臺灣), 04/17/2025 09:25:37
36F:→ trkotaco: 又一家淪陷了 04/22 15:59
37F:→ trkotaco: 剛好就是我買的 04/22 15:59
38F:→ asdfghjklasd: 怪了,我也是 fortinet 怎就沒事,我還六台 04/22 17:11
39F:推 simpson083: 買adg還比較有用 直接在電腦端擋住看有的沒的網頁詐騙 08/30 09:59
40F:→ simpson083: 這類的 08/30 09:59