作者DINJIAPC (鼎哥)
标题Re: [问题] 防毒软体无效论
时间Mon Apr 14 14:05:35 2025
※ 引述《trkotaco ()》之铭言:
: https://pse.is/7djbf5
: 大家都知道virustotal 这个网站
: 那问题来了,写病毒的人会先放上去扫一扫
: 根据结果在来修改,改到没侦测
: 不就行了,能放出来了
: 真正有效的防毒好像是公司用的,一年要好几万那种,卡巴 诺顿 小红伞 shphos
: 这些都只认有没有合法凭证,有的话放行,
: 没有的挡下来,像是按键精灵早期防毒会一直叫
: 现在都不会叫了,但是软体本质不变啊!
: -----
: Sent from JPTT on my Google Pixel 8a.
防毒软体说白了就是一个黑名单过滤机
你说那我是不是一直修改就能通过?
结论为既是非是
1.VT并不是只呈现结果
而是自动样本收集器且各家厂商的处理效率有的落差很大
在成熟的机器学习使用前的年代就有很多厂商在用9800GTX在训练分类器了(比如卡巴
AVAST AVX)
有的小厂只会模仿传统大厂的侦测结果,当如今都使用机器学习分析(赛门 Wwbroot 微软
)情况下,一个恶意程式有效的使用时间可能仅有几分钟
攻击者频繁的修改并上传会让这些厂商更容易摸清你修改样本的恶意用途方向,再来就看
取样的特徵可以撑多久达到通杀
也因为各家的判断标准有差异你会发现有些厂商不肯加白有些则根本不入库
2.很多防毒软体并不处理事後感染
在windows 8之後就没有实际能够在不断复制自身的恶意程式出现了
有没有防毒被过的例子?
https://www.mobile01.com/topicdetail.php?f=508&t=7093454
上面就是了,只是我还是要说就算你把那个执行档回报也确定加入黑名单
不代表防毒还能从被感染的电脑中分离识别作怪的衍生物
我举的例子中不是每一家厂商都能精准移除被增加的排程 删除要被执行的主程序
就像有人要拿餐具杀人,守卫要处理的是可疑的嫌犯而不是要大家都把路人目标等有价值
的任何东西都藏起来 还要能时空回朔
在系统有了重置功能後 基本上防毒软体已经不再负责系统修复这块了
因为不管你如何删除或修改注册表 定不会比映像恢复更确实有效
3.为何误报可以被解除:参考
(
http://tw.vrbrothers.com/qmacro/usermanual_local/faq/faq-shadu.htm)
一个软体是否被列入黑名单 要看引擎静态或动态分析源代码的特徵 有相符到甚麽程度
如果再加入执行行为的分析 误报率会减小很多 因为一个程序他在电脑里跑起来的动作是
连贯的
如果你每一个操作都要设监视点就成了hips单步 而从开始後观察到某一步要完全符合才
会拦截终止运行
则叫多步行为防御
黑名单不只限於白纸黑字定义安非他命 当然可以指定为有夹链袋又看起来是白色粉末或
刚由哪些地区登机的人所带
对单一个对象物件来说 加入例外来排除这不是多难的事情
你若说我可不可以精灵来干坏事? 这就为什麽有些厂商不肯排除的原因之一
等於你用白名单在作弊.而这也是为何会有各种EDR XDR 还要你绑硬体防火墙成套档你作
怪的原因。
参考:
https://bbs.kafan.cn/thread-2181276-1-1.html
https://bbs.kafan.cn/thread-2256953-1-1.html
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 125.230.131.1 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1744610744.A.36B.html
1F:→ trkotaco: 其实我问过公司的it 整间公司的电脑防护软体分摊下来一 04/14 21:59
2F:→ trkotaco: 台一年要好几万,是整间公司下去平分下来 04/14 21:59
3F:→ trkotaco: 我看卡巴斯基进阶版放行纪录 04/14 21:59
4F:→ trkotaco: 都是合法凭证就放行,真是见鬼了 04/14 21:59
5F:→ trkotaco: 那我直接用微软内建不就差不多 04/14 21:59
6F:→ trkotaco: 都只看有没有合法凭证,马的这年代 04/14 21:59
7F:→ trkotaco: 搞个合法凭证会很难吗? 04/14 21:59
8F:→ trkotaco: 公司的防护都监控程式动作 04/14 21:59
9F:→ trkotaco: 不管它合法或非法,不合理存取动作 04/14 21:59
10F:→ trkotaco: 一率档,就算是window 内建还是档,家里电脑我还搞了三 04/14 21:59
11F:→ trkotaco: 套 全部没用, 04/14 21:59
12F:→ trkotaco: 电脑重灌十次有了吧,家用防毒 04/14 21:59
13F:→ trkotaco: 就是个笑话,只要我都用管理员权限登入电脑并联上网路, 04/14 21:59
14F:→ trkotaco: 对方就能搞事,window内建就一堆预设开放权限 04/14 21:59
15F:→ trkotaco: 关不完,真的关不完,currports 04/14 21:59
16F:→ trkotaco: 开下去,一堆未知连线,我看了也是无言,买了fortigate 04/14 21:59
17F:→ trkotaco: 防火墙结果不会用 04/14 21:59
18F:→ trkotaco: ,手机买了 google泰坦金钥,还是会被同步所有帐密,只 04/14 21:59
19F:→ trkotaco: 能一直改密码,被同步还不会有任何通知,只能自己去看, 04/14 21:59
20F:→ trkotaco: 我想 放弃了,毕竟我不是专业的,要搞懂网路七层还要时 04/14 21:59
21F:→ trkotaco: 间勒,没那个时间跟对方搞这个,实体的防火墙又怎样,防 04/14 21:59
22F:→ trkotaco: 毒又怎样,遇到大尾的就等死,对方还能离线开机我的笔电 04/14 21:59
自2020後我个人不会再推荐使用卡巴作为防毒首选,个人比较建议avast或BD或eset甚至免
费板就行
卡巴是不是是有数位签章就放行?基本上所有的防毒都是这样的,只是卡巴ksn有自己的
一套白名单体系
参考
https://forum.gamer.com.tw/C.php?bsn=60030&snA=463208&s_author=ts00937488
美国就是发现在破解版的卡巴上有ksn存取过用户电脑档案的纪录
所以才全面封锁卡巴的产品
可你告诉我pime新酷音输入法,在没有背书签章前他和键盘侧录软体有何不一样?
都输入法了哪里不能纪录键盘?明是合法的软体却要被针对内
如果不依赖数位签章,你实际上光是应付hips的提示安装一个atm转帐的支持插件放行要
按快5分钟的提问视窗
你能接受?你能接受那其他用户能接受?
你要解除卡巴安静模式?
把自动处理威胁那个勾拿掉下面的选项也都取消 hips那里也拿掉信任数位签章与继承ksn
规则
就会像你公司一样了
只是我告诉你的是 av-c的测试这10年都不可能去调成这种模式 这显然是一种作弊
(任何对系统的操作都问你,你觉得会不会影响性能?各操作你都要掌握那还要特徵码干麽
)
再来就是即使你都这样完成atm交易插件的安装 卡巴实质上已经不在针对侧录或者浏览器
防护上做加强了
因为我测试後发现都录的到!在2019年是没问题的,而卡巴现在的解释是只要系统有核心
隔离
那他的防护就不保证
https://www.mobile01.com/topicdetail.php?f=508&t=6162634(本人提)
https://bbs.kafan.cn/thread-2205292-6-1.html(21年本人提)
https://bbs.kafan.cn/thread-2212759-1-1.html(其他的玩家测试其他的产品)
因为只有破解产出大国说,我们不杀破解我们对低威胁恶意程式不感兴趣
你的安全软体做出交易保护功能却各种理由推托效果时,我倒想问问诸位网管们如何感想
其实也不只卡巴。趋势家用的安全交易
我也看不出在保护甚麽东西趋势也从不做甚麽漏洞防止模块,密码代贴还要花钱买
25F:→ DINJIAPC: 是一语成谶吧,好笑的是10年後的今天赛门是被拆卖到博 04/16 10:18
26F:→ DINJIAPC: 通去,家用的诺顿仅保留了线上备份保险箱与密码库再来 04/16 10:18
27F:→ DINJIAPC: 就被AVast夺舍了,还改名叫Gen 04/16 10:18
28F:→ DINJIAPC: 这确实是赛门末日啊,仅比被英特尔买去再被丢出去的咖 04/16 10:18
29F:→ DINJIAPC: 啡好上一点而已 04/16 10:18
30F:→ DINJIAPC: 拆分卖掉自己的实验室企业与技术开发然後换得五家安全 04/16 10:18
31F:→ DINJIAPC: 公司与品牌这样有比较高明? 04/16 10:18
32F:→ DINJIAPC: 即3A诺顿 Bullguard F-s均是一家 04/16 10:18
33F:推 trkotaco: 一家拆成五家 04/16 19:48
34F:→ trkotaco: 这样算技术够强才能这样拆吧 04/16 19:48
现在Gen和博通铁克毫无关连了,ips 实验室技术研发都在博通那里
在台湾有技术能力的代理厂商就剩勘杨和棋圣而已,可怜泉琨合作的原厂几乎都
来乱的。
※ 编辑: DINJIAPC (1.165.141.158 台湾), 04/17/2025 09:25:37
36F:→ trkotaco: 又一家沦陷了 04/22 15:59
37F:→ trkotaco: 刚好就是我买的 04/22 15:59
38F:→ asdfghjklasd: 怪了,我也是 fortinet 怎就没事,我还六台 04/22 17:11
39F:推 simpson083: 买adg还比较有用 直接在电脑端挡住看有的没的网页诈骗 08/30 09:59
40F:→ simpson083: 这类的 08/30 09:59