qwe12302 2008-8-26 12:41
郑重提醒金山,金山的可信认证目前存在一定的漏洞
[color=purple]首先我必须要用非常严肃的口气来发这个帖子[/color]
[color=purple][/color]
[color=purple]因为最近我看到我们的热心网友对金山最近的可信认证进行了测试[/color]
[color=purple][/color]
[color=purple]测试的结果误报率较高[/color]
[color=purple][/color]
[color=purple]我不知道是什么原因,也不知道金山是根据什么来校验文件的,是数字签名,还是MD5之类的校验算法??[/color]
[color=purple][/color]
[color=purple](金山应该要有一些说明啊~~~)[/color]
[color=purple][/color]
[color=purple]以下是测试[/color]
引用:[indent][b][color=red]2008.08.25[/color][/b][color=purple]
[b][color=red]080825-1-5.exe 080825-2-3.exe [/color][/b][color=purple]被金山可信认证标注为 安全 <--- 前一个似乎是 crack 后一个 appcrash
[b][color=red]080825-A1-63.exe [/color][/b][color=purple]被瑞星卡卡云安全标注为 安全 <--- 这算很有名的 malware[/indent]
引用:[indent][b][color=red]2008.08.24[/color][/b][color=purple]
[b][color=red]080824-A1-84.exe[/color][/b][color=purple] 被金山可信认证标注为 安全 <--- 亲爱的 downloader...[color=white]被[/color][color=purple]网镖自动放行了 咔咔 捅娄子咯 会被别有用心的人骂到死的
[/color]
[b][color=red]080824-1-9.exe 080824-A1-216.exe 080824-A1-32.exe [/color][/b][color=purple]被瑞星卡卡云安全标注为 安全 <--- 全是错报 咔咔
貌似某个还是 kill MBR 当然我还没看过 只是记得图标罢了[/indent]
引用:[indent][b][color=red]2008.08.23[/color][/b][color=purple]
[b][color=red]080823-3-3.exe[/color][/b][color=purple] 被金山可信认证标注为 安全 <--- 产生迷惑性 url 指向与 shortcut
[b][color=red]080823-A1-44.exe[/color][/b][color=purple] 被金山可信认证 [b][color=red]错误地[/color][/b][color=purple] 标注为 安全 <--- Trojan.Downloader
[b][color=red]080823-2-1.exe 080823-A1-110.exe[/color][/b][color=purple] 被瑞星卡卡云安全标注为 安全 <--- 俩 hupigeon
[b][color=red]080823-A1-15.exe[/color][/b][color=purple] 被瑞星卡卡云安全标注为 安全 <--- dll lost 不过金山毒霸特征码报 Trojan.Onlinegame[/indent]
引用:[indent][b][color=red]2008.08.22[/color][/b][color=purple]
[b][color=red]080822-1-2.exe 080822-2-3.exe[/color][/b][color=purple] 被金山可信认证 [b][color=red]错误地[/color][/b][color=purple] 标注为 安全
有必要去沟通下了 = =
[b][color=red]080822-1-8.exe[/color][/b][color=purple] 被瑞星卡卡云安全标注为 安全 <---- 死在进程列表里了 [/indent]
引用:[indent][b][color=red]2008.08.21[/color][/b][color=purple]
[b][color=red]080821-3-1.exe[/color][/b][color=purple] 被金山可信认证标注为 安全
似乎是 易语言 写的一个工具?
[b][color=red]080821-A1-4.exe 080821-A1-5.exe 080821-A1-6.exe 080821-A1-7.exe[/color][/b][color=purple] 被金山可信认证标注为 安全
带有安装界面 = =
[b][color=red]080821-4-5.EXE[/color][/b][color=purple] 被金山可信认证 [b][color=red]错误地[/color][/b][color=purple] 标注为 安全
全盘 autorun 怎么也不会是安全的东西吧 =v=
[b][color=red]080821-A1-3.exe[/color][/b][color=purple] 被瑞星卡卡云安全标注为 安全 <---- 很大很肥的鸽子
[b][color=red]080821-3-1.exe[/color][/b][color=purple] 被瑞星卡卡云安全标注为 安全 [/indent]
引用:[indent][b][color=red]2008.08.17[/color][/b][color=purple]
[b][color=red]080817-1-5.exe[/color][/b][color=purple] 被金山可信认证 [b][color=red]错误地[/color][/b][color=purple] 标注为 安全
好大一个 rootkit 哇... 该不会又是... [color=white]从卡巴那边...[/color][/indent]
引用:[indent][b][color=red]2008.08.14[/color][/b][color=purple]
[b][color=red]080814-5-5.exe[/color][/b][color=purple] 被金山可信认证标注为 安全
VT 报告如下 报的全部是壳 [url=http://www.virustotal.com/zh-cn/analisis/9cf5edb3efc6c7de6d9f544f22790454][color=#0000ff]http://www.virustotal.com/zh-cn/ ... 7de6d9f544f22790454[/color][/url][/indent]
引用:[indent][b][color=red]2008.08.13[/color][/b][color=purple]
[b][color=red]080813-4-8.exe[/color][/b][color=purple] 被金山可信认证标注为 安全
[b][color=red]080813-2-5.exe[/color][/b][color=purple] 被瑞星卡卡云安全标注为 安全 <---- 显然扯淡 这是个标准而典型的鸽子[/indent]
引用:[indent][b][color=red]2008.08.12[/color][/b][color=purple]
[b][color=red]080812-1-10.EXE 080812-1-11.exe 080812-1-5.exe[/color][/b][color=purple] 被金山可信认证标注为 安全
其中 [b][color=red]080812-1-5.exe[/color][/b][color=purple] 似乎被认作合法 IE 插件 [/indent]
引用:[indent][b][color=red]2008.08.11[/color][/b][color=purple]
[b][color=red]080811-2-8.exe[/color][/b][color=purple] 被金山可信认证错误的标注为 安全[/indent]
引用:[indent][b][color=red]2008.08.09[/color][/b][color=purple]
[b][color=red]080809-1-6.exe 080809-2-0.exe 080809-A1-3.exe[/color][/b][color=purple] 被金山可信认证标注为 安全
[b][color=red]080809-A1-32.exe[/color][/b][color=purple] 被瑞星卡卡云安全标注为 安全
全是错的[/indent]
引用:[indent][b][color=red]2008.08.08[/color][/b][color=purple]
[b][color=red]080808-3-3.exe 080808-3-9.EXE 080808-4-5.exe 080808-A1-19.COM 080808-A2-78.exe[/color][/b][color=purple] 被金山可信认证标注为 安全
最后一个应该是误判... 其他的未知[/indent]
引用:[indent][b][color=red]2008.08.07[/color][/b][color=purple] 成绩越来越囧了
[b][color=red]080807-1-10.exe 080807-3-7.exe 080807-6-10.exe 080807-A1-144.exe 080807-A1-79.exe 080807-A1-81.exe 080807-A1-82.exe 080807-A1-83.exe 080807-A1-84.exe 080807-A1-85.exe[/color][/b][color=purple] 被金山可信认证标注为 安全
不过显然后六个是误判... 估计又是从某处拿来直接入库白名单的...[/indent]
[/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color][/color]
还有以下的测试
[attach]16201274[/attach][attach]16201275[/attach]
详细帖子请见
[url=http://bbs.duba.net/viewthread.php?tid=21967713&extra=&page=1]http://bbs.duba.net/viewthread.php?tid=21967713&extra=&page=1[/url]
[color=purple]有的人说[/color]
[color=purple][/color]
[color=purple][quote]原帖由 [i]PH-Winter[/i] 于 2008-8-23 04:12 发表 [/color][url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3404819&ptid=21967713][color=purple][img]http://bbs.duba.net/images/common/back.gif[/img][/color][/url]
[color=purple]可信认证其实本来就不是针对病毒的[/quote][/color]
[color=purple][/color]
[color=purple][quote]原帖由 [i]PH-Winter[/i] 于 2008-8-23 02:26 发表 [/color][url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3404418&ptid=21967713][color=purple][img]http://bbs.duba.net/images/common/back.gif[/img][/color][/url]
[color=purple]至于清理专家的问题... 可信认证其实已经有点做废掉了... 毫不讳言的可以那么说 ... [/quote][/color]
[color=blue]————————————————————————————————————————————————————
[/color]
[color=purple]这个其实是错误的,金山就是想通过可信认证技术来提高产品在特征码方面竞争力,这个也是陈睿所说的金山的思路[/color]
[color=purple][/color]
[color=purple]就是通过海量样本的收集,来提高病毒的搜集能力,由于正常文件的更频率并不是很快的,而病毒木马的改变频率很[/color]
[color=purple][/color]
[color=purple]高,这样就很容易被金山收集到,而且由于产品架构的问题,金山对于新生成的文件搜集效率非常高,所以金山的现在[/color]
[color=purple][/color]
[color=purple]的防御体系对于病毒的几何级增长的局面是十分有效的 [/color]
[color=purple][/color]
[color=purple]但是我们不能因为金山现在不好,就说是有点做废掉了,这个还是不要这么讲为好,不太好![/color]
[color=purple][/color]
[color=purple]我不知道是什么原因,也许原因远比我们想象的复杂,比如说是有很多因素造成的,比如是金山可信认证中心的新人还[/color]
[color=purple][/color]
[color=purple]不够熟悉,或者是水银系统误判,或者.......[/color]
[color=purple][/color]
[color=purple]我想金山毒霸技术总监陈睿要是看到毒霸可信认证弄成现在这个样子,一定会大怒的![/color]
[color=purple][/color]
[color=purple]我不知道我的帖子是否能被官方人员看到,但是至少我在做努力,希望不要成为沉在贴海里的帖子[/color]
[color=purple][/color]
[color=blue]我知道,虽然按百分比,误报率不是非常高,但是至少用户的可信度是直线下降,非常严重!!
[/color][color=purple]我想既然做了,就必须要对这个负责,也是对用户的负责![/color]
[color=purple][/color]
[color=purple]金山的官方人员务必注意![/color]
[[i] 本帖最后由 qwe12302 于 2008-8-26 04:47 编辑 [/i]]
ksdc0274119 2008-8-26 12:54
不管怎么做,由于是大部分是机器分析,误报总要有的,理想的是把误报控制得低一些。现在金山缺少一个有效的纠错体系,导致误报积累很多,其实很多误报很早就有人报了上去但一直没有解决。。希望金山尽早提出一个有效的纠错体系来完善可信认证。
[[i] 本帖最后由 ksdc0274119 于 2008-8-26 12:55 编辑 [/i]]
qwe12302 2008-8-26 13:04
[color=purple]其实我也是这个意思[/color]
[color=purple][/color]
[color=purple]样本积累多了[/color]
[color=purple][/color]
[color=purple]会引起很严重的问题[/color]
tanlimo 2008-8-26 13:34
以上所提到的样本能否提供一下?
Harry·Potter 2008-8-26 14:35
请上传相关文件至论坛。
menace 2008-8-26 15:35
文件相信冬天已经转交了
不过目前可信的这个问题很讨厌
而且确实有简单的方法让其机处理系统被骗过,成功的“洗白”。。。
所以海量的文件肯定有错误标识的
menace 2008-8-26 15:38
最可怕的就是网镖对可信的结合,如果可信认证分类出错,真的成了典型的内贼了。。。
其实楼主不必太过担心
目前的处理速度无法避免的会出现误判
可以从这个角度考虑:大部分误判文件的影响的范围和时间不会很大很长,基本上一年后就是一个冗余的“数据”了,对整个体系的威胁不是特别大。关键是常见的系统和软件别乱来就可以了,这对09版本的主防有很好的帮助
menace 2008-8-26 15:40
另外,一直都希望看到你这样的帖子发在毒霸社区,让研发引起注意
我一定帮你顶上去{sun11}
282204495 2008-8-26 16:36
全是卡饭上的样本。。
tempora 2008-8-26 16:55
可信认证的机制是非黑即白,如果不能给出100%的正确判断,那么可以说miss 1和miss all是同样的,也就是说可信认证废掉了
risbsoft19 2008-8-26 20:38
可信认证其实就是特征码的延伸
PH-Winter 2008-8-26 21:00
[color=purple]不发表意见...
p.s. 下次引用的时候记得把我的隐藏文去掉...
PH-Winter 2008-8-26 21:03
[color=purple]另外就最后两张图说明一下
实际上可信认证没有标错 这两个都是系统原本的文件
只不过 dll 注入到其中而已
具体的点击进程管理器的 <找出存在风险的进程> 即可看到
wscr113 2008-8-26 22:06
我的网镖也总是自动放行,感觉很不放心。
menace 2008-8-26 22:16
应该是长度+MD5的体系,可能还有其他辅助验证的识别特征
PH-Winter 2008-8-26 22:45
回复 15楼 的帖子
[color=purple]就是校验码 至于具体是采取一种还是几种校验算法还有待确认
我完全不精通加解密算法 即便认证过程好像还是基于基本的 base64
在之前某个帖子里尝试过了
帖主提供的被可信认证通过的 simplevserver 随意改一个字节就会导致验证不通过
PH-Winter 2008-8-26 22:51
[color=purple]当然 本地也会审核数字签名...
原本以为是单一的校验码 不过有些程序的认证速度快到惊人 于是乎相信是会审核数字签名的...
Fido_Lyy 2008-8-26 22:52
有些严重的问题。
楼主说的纠错机制的确应该受到重视。必经不能保证1000%的准确无误。
既然文件的搜集都是通过发动群众的力量,那么在纠错上参考接纳群众的意见,也是在情理之中的。
13533626088 2008-8-26 23:08
建议组织个人肉检测队,从网上和论坛里挖人才出来检测
沐浴平凡 2008-8-26 23:41
可信认证是病毒收集的一个延伸,相对来说快速有效.可信认证多少会存在一定的问题,这是为DB服务的.新生病毒从出现到被发现要一个时间,这个时间越短越好.可信认证就是缩短这个时间.
menace 2008-8-27 09:10
[quote]原帖由 [i]PH-Winter[/i] 于 2008-8-26 22:51 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3416421&ptid=21968867][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
当然 本地也会审核数字签名...
原本以为是单一的校验码 不过有些程序的认证速度快到惊人 于是乎相信是会审核数字签名的... [/quote]
怀疑有内置的数据库,特别是一些系统文件,特别的快。。。。
PH-Winter 2008-8-27 09:12
回复 21楼 的帖子
[color=purple]系统文件也能 verify
另外系统文件应该是最方便入库的了
本地应该只会缓存认证结果以便网络不畅的时候使用
menace 2008-8-27 15:53
[quote]原帖由 [i]PH-Winter[/i] 于 2008-8-27 09:12 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3416812&ptid=21968867][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
系统文件也能 verify
另外系统文件应该是最方便入库的了
本地应该只会缓存认证结果以便网络不畅的时候使用 [/quote]
还没试过第一次安装专家,在无网络环境下是不是全部显示未知
PS:这种误报貌似没有上报的官方途径。。。
而且外人想要验证正确性也没啥好的方法,,,
干脆以后开个可信验证QQ群算了。。。验证100个送1Q币{sun11}
risbsoft19 2008-8-27 17:16
想法是好的
实施起来,难{tsj12}
skyforwing 2008-8-27 17:21
在卡饭论坛混的都应该有所了解,挪威的冬天PH-Winter出来说说应该更加深入,毕竟他做的测试。。。
似乎需要加入人工?不过其实将水银系统和 算法改进应该没大问题
[[i] 本帖最后由 skyforwing 于 2008-8-27 17:24 编辑 [/i]]
qwe12302 2008-8-27 21:19
ding
htt 2008-8-27 22:04
毒霸不是万能的,这一点一年前就认识到了。
只是希望毒霸能有所提高。
menace 2008-8-27 22:16
[quote]原帖由 [i]qwe12302[/i] 于 2008-8-27 21:19 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3420568&ptid=21968867][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
ding [/quote]
一直没看到有官方的答复。。。
腾空 2008-8-28 09:22
楼主最好把那些样本的url也发一下啊
ksdc0274119 2008-8-28 12:00
上传样本。。。权限设为50
[[i] 本帖最后由 ksdc0274119 于 2008-8-28 12:03 编辑 [/i]]
tanlimo 2008-8-28 12:10
回复 30楼 的帖子
以上都是被误判的样本?
ksdc0274119 2008-8-28 12:12
回复 31楼 的帖子
是的。根据楼主提供的列表整理的
menace 2008-8-28 12:31
[quote]原帖由 [i]ksdc0274119[/i] 于 2008-8-28 12:12 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3421854&ptid=21968867][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
是的。根据楼主提供的列表整理的 [/quote]
这只是测试样本中发现的
也许还有很多个我们没有测试到的误差在可信数据库里。。。
PH-Winter 2008-8-28 13:18
[color=purple]在没有新的机制出来前这些错误是没法更正的
因为现在可信结果更改的流程很复杂
要说这些 "误判" 我都上报过 可是现有的常用体系是无法解决这个误报的问题的
所以这类人肉的大海捞针作用是微乎其微的
menace 2008-8-28 15:41
[quote]原帖由 [i]PH-Winter[/i] 于 2008-8-28 13:18 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3422113&ptid=21968867][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
在没有新的机制出来前这些错误是没法更正的
因为现在可信结果更改的流程很复杂
要说这些 "误判" 我都上报过 可是现有的常用体系是无法解决这个误报的问题的
所以这类人肉的大海捞针作用是微乎其微的 [/quote]
也就意味着如果我发现有木马被验证为安全了,但至少在上报后未来几个月内这木马还是能拿到合法的身份证?
PH-Winter 2008-8-28 15:57
回复 35楼 的帖子
[color=purple]问题是通过什么途径上报呢?...
up.duba.net 和可信认证是联动的 到时候会返回个 <安全,不是病毒> 的回馈信息给你...
清理专家的上报系统在上报前也会计算 checksum 并联网核对
凡是已经处在可信认证里面的
不管是 可疑的/分析中/安全/病毒程序 中的任何一项都会导致清理专家的 <不上报>
即便此时会提示你上报成功
这也是为什么有时候一个快 1M 或者更大的程序你上报瞬间就提示成功的原因
论坛的话其实 XO 自己也很难办 因为目前没有流程告诉他这到底该怎么办
menace 2008-8-28 16:18
回复 36楼 的帖子
不过我觉得木马的存活周期和影响范围不会很大,也许一年后这种误判就没有实际意义了
可能金山内部也这么想,只要别把系统文件和常用软件报成病毒被误删除就行了。
也许这个体系在毒霸服务器内部还分为多个层次:核心层(确保100%正确),一般层(应用软件),其他。。
270398096 2008-8-29 09:18
同意LZ的观点……本来可信认证是个很好的东西,没想到现在……
qwe12302 2008-8-29 11:36
[quote]原帖由 [i]270398096[/i] 于 2008-8-29 01:18 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3424603&ptid=21968867][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
同意LZ的观点……本来可信认证是个很好的东西,没想到现在…… [/quote]
[color=purple]没你想得那么严重,我只是履行提醒的义务[/color]
[color=purple][/color]
[color=purple]趁现在还没有很严重的情况下,还是有挽回的余地的[/color]
[color=purple][/color]
[color=purple]对于金山,是应该好好反省一下了[/color]
kscb0327714 2008-8-29 23:04
雷军复出,会好好抓下毒霸的.
页:
[1]
