官方网页的公告：http://x-solve.com/blog/?p=63 应该可以用到八月底吧，我猜。 不过请注意，无法用於 64Bit系统以及 vmware上面。 叹~ -- ok 以上是正经的文章，以下的纯属个人牢骚... (当然也是因为全梭了雅婷所以要来赚一点...) 这个 X-solve团队我还蛮欣赏的， 其中一个原因是绝大部分的开发者都是台湾人， 年纪应该都不会超过 35 岁。 英雄好汉来自许多不同的学校、工作单位， 他们也是在资讯安全领域打滚了数年， 发现到一些现有资讯安全维护的盲点与隐忧， 所以决定跳下来写软体。 不过因为安全性与商业上得考量没办法完全技术公开给大家用。 唉...... 我想说得资讯安全盲点与隐忧，主要有两个层面， 其中一个是国家资讯安全的问题。 现在我国政府使用的资讯系统，很多个人电脑用的是XXX的系统， XXX 是外国厂商，技术层面我们根本无法掌握， 所以只能每次被爆破之後才装Patch.... 但是，就连资讯安全的相关维护软体，仍大都是外国软体的天下。 我不了解 trxxx 公司内部的情形，只是他们的软体效率我只能摇头。 我们既没有资讯系统维护能力，也没有防护软体开发能力。 这注定只有被打趴在地上的份阿！ 终於，有人愿意挺身而出，成立一个我国自有的资安软体开发公司， 所有技术 100% 为我国所有。 第二个隐忧没有上面那个严重，但是还是要让人叹气。 现在市面上扫毒软体一大堆都是透过 档案模式辨识机制来达成的。 这种防护机制的罩门跟规避方式大家都知道：变体技术与新型态病毒。 更惨的是，这种防护技术都只是在 『检视惨烈攻击後的残破家园』 例如说重了档案型病毒之後，可能会发现硬碟中数百个执行档被感染了.... 另外一些很奇怪的扫描结果， 例如说 『 iexplorer.exe 试图存取非法网路资源』 要不然就是 一些贫乏的技术陈述， 例如像是 hijackthis log ，只告诉你 process list/registry/service 他们都只跟你说 喔喔喔喔喔喔喔，你的电脑被人XXXXX了！！！ 但是我需要知道的是 为什麽？ How ？ 因为逝者已矣，来者可追。 唯有知道攻击途径与方法， 我们才能有效防范新的攻击！！ 喵的勒，我当然知道 iexplorer.exe 正在执行恶意的行为， 所以我可以把 Internet Explorer 砍了吗？当然不行阿！ 你如果聪明一点，你会知道并不是整个 IE 都是烂的，会发生这样通常是 IE 被植入某个恶意的 plug-ins， 如果再聪明一点，就知道Microsoft提供一个 光明正大的 IE 外挂方式， 叫做 BHO (Browser Helper Object)。 当然你也可以知道 BHO 的挂载方式是 Registry 的某个 Key。 当然，你若够厉害，你也会知道，可以不透过 BHO，照样把 外挂 塞进去 IE 内，这个方式叫做 DLL Injection。 很不幸的事情是，大部分的防毒软体都只知道 BHO ， 你知道我知道独眼龙也知道。那到底有谁能够在10分钟赢得300万美金？ 当然是透过鲜为人知的 DLL 注射阿。 如果你的电脑被这样搞，档案型防毒软体可能知道吗？ 不可能！！因为 DLL 档案可以变形，档案特徵根本拿她没皮条。 HijackThis 有可能知道吗？不可能！根本没有独立的process，怎麽知道 svchost.exe 有没有被塞入 奇怪的 DLL。 遇到这种攻击，就只能重灌，没其他方法。 另外更惨烈的是 Rootkit 攻击，版上有跟这种东西交手过的应该都知道 那种痛彻心肺的感觉，用尽一切软体，就是删不掉，就是会重生。 区区一个扫毒程式，动得了RootKit吗？ 如果以後的病毒恶意程式都朝向Rootkit发展，那干麽还要装盗版的防毒软体， 反正装了也查不到，查得到也删不掉！！！ 这就是第二个隐忧。 我不是夸说 Archon Scanner 多有效，但是他们用截然不同的角度来 处理这样的威胁。 他们使用的是 行为模式辨识技术。 原理很简单，就是扫描过程中，去查看每个process的行为。 例如说他们会检查 IE 的每一个 DLL 档是不是正常被载入、 检查 Process 内有没有刻意隐藏的 thread 、 检查执行中的 process 有没有奇怪的网路行为(例如raw socket)、 等等很多的方式。 从 Hacker 的角度，去思索可能有那些奇怪的攻击行为， 然後针对这些攻击行为，建构一套辨识与区分的方法。 他们不是从恶意攻击後的结果来辨识攻击， 而是从恶意攻击的行为与意图来辨识。 就好像 侦探推理一个案件，不能只从现场的结果来推想， 更要能够模拟凶手的动机与目的。 我认为这是 Archon Scanner 优於一些现有扫毒软体的地方。 当然，因为我用了不少，所以也知道一些缺陷。 毕竟这还是一套很新的软体，还没有经过广泛的市场测试， 此外其辨识能力仍没有经过严苛的 in fields 测试，实际口碑与效能仍是未知。 不过，我还是希望愿意看到这篇文章此处的诸位， 想想看资讯安全的价值与深耕本国软体产业的重要性。 谢谢各位～～～ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 219.68.32.56 ※ 编辑: kukulcan 来自: 219.68.32.56 (08/06 02:53)