微点交流论坛

标题: Anti Virus?Anti Virus Author?（反病毒？还是反病毒作者？） [打印本页]

作者: magicface 时间: 2010-1-25 07:59 标题: Anti Virus?Anti Virus Author?（反病毒？还是反病毒作者？）

这些天一直在看关于anti-antivirus方面的资料，找的过程中发现反病毒软件在客户端对抗能力实在太弱了，在考虑为什么会弱，为什么反病毒软件总是“马后炮”？有什么方法可以病毒对抗的时，想到反病毒和病毒作者之间的区别：
1. 反病毒软件在明，病毒作者在暗。
2. 病毒作者有技术交流，反病毒之间技术保密。
3.病毒作者是和人对抗，而目前反病毒作者是和机器对抗(悲哀）。
4.反病毒是对抗整个病毒产业链，病毒作者对抗的是部分反病毒软件。
5.病毒作者针对性强，目的性明确，反病毒是大而全，华而不实，从网络安全到漏洞、从防盗号木马到传统感染型病毒。
6.病毒作者对应的客户是几百、几千、几万，反病毒对应的客户是几百万、几千万、几亿。
7.病毒作者是科学定位，针对处理。反病毒是什么都要做，什么都想做好。结果什么都做的不好。
8.一个病毒生命周期为一两周甚至更久，一个病毒特征生命周期为一两天甚至更短。
......
还有一些难得整理了，区别中有部分是商业原因导致的，也有部分是技术导致的，商业本身的东西就不讲了，那是老板们的事。

从技术本身可以发现反病毒作者很无奈：一个想破头脑的解决方案升级到客户端后就像是“螳臂挡车”。问了N多同事和业内人士聊天，发现大家刚开始对反病毒都很兴趣，但不久发现是机械式的重复劳动（新病毒不多，旧病毒变种非常多）。导致这问题的原因是反病毒和病毒之间的对抗不平衡。知道问题原因又让自己想起另一问题，十几年前的老一辈的反病毒作者他们是怎么过的呢？他们是怎么对抗的呢？如果他们像我们今天这样他们为什么就没留下一点信息和经验给我呢？一系列的问号后开始回想整个病毒行业和反病毒行业这些年的情况和变化，国外第一个计算机病毒在1983年，同年第一杀软McAfee问世，也就说，反病毒行业有20几年的历史了。那么这20几年反病毒和病毒都有哪些情况和变化呢？
时间：80年初中期
病毒手段
行为：感染文件、修改主引导记录
开发代价：高
病毒作者：少
目的：显示技术

反病毒手段
反病毒处理技术：二进制特征匹配
开发代价：高
作者：少
目的：商业利益
处理方式：手工
生产方式：限量生产

时间：80年代末-90年代初(这个阶段都是"有钱人"才能写得起病毒)
病毒手段
行为：感染文件、修改主引导记录加dos变形、抗反病毒软件
开发代价：高
病毒作者：少
目的：显示技术
生产方式：限量生产

反病毒手段
反病毒处理技术：二进制特征匹配
开发代价：高
作者：少
目的：商业利益
处理方式：手工

时间：90年中期
病毒手段
行为：感染文件、宏病毒、bat
开发代价：较低
病毒作者：较多
目的：显示技术
生产方式：限量生产

反病毒手段
反病毒处理技术：二进制特征匹配 + 宏启发式查毒
开发代价：高
作者：少
目的：商业利益
处理方式：手工

时间：90年中后期
病毒手段
行为：感染文件、感染PE文件、破坏系统、PE变形病毒
开发代价：较高
病毒作者：较多
目的：显示技术
生产方式：限量生产

反病毒手段
反病毒处理技术：二进制特征匹配 + 虚拟机
开发代价：高
作者：较多
目的：商业利益
处理方式：手工

时间：2000年-2003年（网络病毒风暴）
病毒手段
行为：利用网络传播、攻击系统漏洞，攻击行为、脚本病毒
开发代价：较高
病毒作者：较多
目的：显示技术、有一定利益驱动。
生产方式：限量+病毒生成器(病毒生成器还是限量)

反病毒手段
反病毒处理技术：二进制特征匹配、虚拟机、启发式查毒
开发代价：高
作者：较多
目的：商业利益
处理方式：手工+半自动

时间：2003年-2006年
病毒手段
行为：商业行为较为明显，以后门、感染型为主流
开发代价：一般
病毒作者：多
目的：显示技术、有较多利益驱动。
生产方式：中型、半自动生产

反病毒手段
反病毒处理技术：二进制特征匹配、主动防御、启发式查毒。
开发代价：高
作者：多
目的：商业利益
处理方式：手工+半自动

时间：2006年-2008年
病毒手段
行为：盗号、后门
开发代价：低
病毒作者：多（有成熟的产业链）
目的：主要利益驱动
生产方式：大型、全自动机器生成

反病毒手段
反病毒处理技术：二进制特征匹配、主动防御、启发式查毒。
开发代价：高
作者：多，但各产家是单兵作单
目的：商业利益
处理方式：手工+半自动

通过以上列出的点可以得出结论：
在06 年之后，由于利益驱动的原因，病毒开始机械化，自动生产，在尝试用机器对抗反病毒行业中的人，而反病毒行业主要还是在反病毒，在尝试通过人来对抗机器。导致的情景就是：
病毒作者：
早上起床，喝着牛奶，打开程序自动定位，免杀、生成新病毒变种，然后说：“这帮SB,怎么就提这么简单的特征呢，让我一下就定位到了，太没挑战了”。
反病毒作者：
早上起床，急急忙忙的看今天数据是否掉了，有多少病毒要分析?昨天的特征升出去了没有？
看完样本后发发牢骚：“tmd,分析了近1k个样本找到规律的特征、花了一两天时间的特征、近一两周的规则又不免杀了，并且还就针对我提的那些位置、特征进行免杀修改。”

得出结论后再想想这几年，发现自己真是个大笨蛋，病毒都变化了这么多。为什么那时候还死抓着反病毒不放？为什么是anti-virus 而不是anti virus author呢？我喜欢的是和人对抗不是和机器对抗，就像我喜欢和壳或壳作者对抗，而不是对抗vmp加壳后的样本、kme变形后的代码。

BTW：
1.我并没有写自动分析和自动处理这部分，在国外06 年大部分有很成熟的自动分析和自动处理流程。但那并不济于事，因为那只是变成了机器和机器的对抗。机器对抗机器精度较差，太被动。要能做到人和人对抗那反病毒和病毒作者之间才算平衡。目前各大杀软的云是一个好的思想，但不够，还需要考虑怎么样更好的对抗病毒作者、对抗黑色产业链。
2.我想起前段时间看徐克《女人不坏》那电影，徐克是原来是武侠迷，是漫画爱好者，但他拍了这种在我看来不是他风格的电影。也许他就像病毒行业一样，一直在变化。

作者: magicface 时间: 2010-1-25 08:07
usmasdmm，龙龙007，王者天下，你们是一个人的3个马甲而已，这种行为足以证明你是个论坛垃圾。让你们看看什么叫值得看看的帖子，这篇算不上技术帖，怕你们看不懂。

[ Last edited by magicface on 2010-1-25 at 08:12 ]

作者: 时之沙 时间: 2010-1-25 08:34
论坛永远都有小白，呵呵，楼主还是回到绅博吧，没必要在这里给文盲做科普教育。

这个时间表只罗列到了08年啊，09年以后发生了什么变化呢？

作者: Legend 时间: 2010-1-25 10:01
微点论坛为北京东方微点公司提供给广大用户及微点爱好者交流的技术论坛，欢迎大家踊跃发言。

但请大家在讨论问题时，克制情绪，文明用户，谢谢合作！

作者: POYWE 时间: 2010-1-25 10:07

Quote:

Originally posted by magicface at 2010-1-25 08:07:
usmasdmm，龙龙007，王者天下，你们是一个人的3个马甲而已，这种行为足以证明你是个论坛垃圾。让你们看看什么叫值得看看的帖子，这篇算不上技术帖，怕你们看不懂。

[ Last edited by magicface on 2010-1-25 ...

个人观点不代表官方，就比如说中国人有几个人犯罪的，不能说整个中国人都有问题吧？呵呵。你说的那些好像是御剑的马甲....
他好像有几十个马甲了用微点的人都知道御剑，在卡饭出了名的，很执着，卡饭封杀他一年多了但他依然天天去卡饭捣乱... 毅力很强就是没走到正道上。
无语了。。。

作者: OKSD 时间: 2010-1-25 10:11
楼主帖子不错就是有点老了，好多黑客论坛都有这方面的总结帖。
貌似就是特征码传统杀毒软件的故事吧？
我想学习制作主动防御的技术，他的原理和形成...还有怎么突破它，希望楼主有时间写个发表一下
支持原创帖。

作者: dsadsawwwa78 时间: 2010-1-25 10:18

Quote:

Originally posted by POYWE at 2010-1-25 10:07:

个人观点不代表官方，就比如说中国人有几个人犯罪的，不能说整个中国人都有问题吧？呵呵。你说的那些好像是御剑的马甲....
他好像有几十个马甲了用微点的人都知道御剑，在卡饭出了名的，很执着，卡饭封杀他 ...

御剑还活着了？:( 毅力太强悍了，此人技术不错就是想法太“超前”
有时候太爱钻牛角尖了。不过人还是很不错的，维护微点
经常上报一些微点的漏洞啥的。

作者: sajswwaa 时间: 2010-1-25 10:20
楼主发几个过主动防御技术的原创帖支持。

作者: jackybaby 时间: 2010-1-25 10:32
我觉得LZ会越来越喜欢微点，的确病毒变化太快了，随便加个壳就是新病毒了，特征码扫描永远跟不上病毒的脚步，而微点是跟得最紧的安软了。

作者: POYWE 时间: 2010-1-25 11:05

Quote:

Originally posted by sajswwaa at 2010-1-25 10:20:
楼主发几个过主动防御技术的原创帖支持。

恩，如果发过微点的就更好的更有技术水平了也更说明问题了
期待楼主过微点的技术帖最好可以是样本，交流一下。大家可以一起测试看看

作者: 786314476 时间: 2010-1-25 17:25
楼主发的帖子内容貌似很老了。。原来在很多论坛上也有相关内容的显示了
支持楼主发几个过微点的病毒。这样才是技术和能力，呵呵
不发病毒，发个最新的方法或者思路也可以啊。

[ Last edited by 786314476 on 2010-1-25 at 17:26 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn