close
今天心血來潮把我寫的幾支實驗性的惡意程式丟給防毒軟體掃一下,果不其然一支都沒被掃到,其中在實驗今天下午寫的零時差攻擊碼的時候有一點小心得,為什麼要實驗這個呢?因為我想要知道當軟體公司還沒放出更新之前,防毒軟體能不能幫忙我們預防這些惡意程式,結論是,如果hacker真的要讓防毒掃不到,那防毒軟體要掃到還真的好像有點困難。
主要的實驗對象是某S家N什麼碗糕的防毒軟體企業版,這支防毒軟體有趣的地方在於我感覺他會主動將執行檔的binary拿來掃,檢查裡面的特徵,因此當我將一些16進位的攻擊碼(shellcode)編成攻擊程式的時候,防毒軟體可以掃到這些攻擊程式,但是如果我使用一些比較冷門的shellcode或者是其他用途的shellcode,防毒就沒辦法有效的偵測攻擊程式,的確從程式行為上面來判斷是否為惡意程式應該是防毒軟體的設計方法,不過這樣的設計方法依然還是有缺陷,使得我自行設計的實驗程式可以通過防毒軟體的檢測,更不用說什麼利用壓縮加殼了,somehow我覺得這有可能成為阿虎哥 [註一] 論文的主要貢獻,如果他的程式可以抓到我的實驗程式的話,那防毒就都不用混啦~~~
所以今天的實驗再次的證明我常跟人家講的一句話─防毒軟體是裝心安的,重要的是你使用網路的習慣,因此,不要以為裝了防毒軟體跟防火牆就天下無敵囉,電腦只要是插上網路線就有危險。
想要知道防毒軟體賣的是什麼藥嗎?你可以參考這篇資安人三月份的文章
註一:阿虎哥,人稱台南之虎,論文題目是從shell code中找出攻擊特徵,為本人遇到組合語言時的求救對象(因為我不會寫@@)
主要的實驗對象是某S家N什麼碗糕的防毒軟體企業版,這支防毒軟體有趣的地方在於我感覺他會主動將執行檔的binary拿來掃,檢查裡面的特徵,因此當我將一些16進位的攻擊碼(shellcode)編成攻擊程式的時候,防毒軟體可以掃到這些攻擊程式,但是如果我使用一些比較冷門的shellcode或者是其他用途的shellcode,防毒就沒辦法有效的偵測攻擊程式,的確從程式行為上面來判斷是否為惡意程式應該是防毒軟體的設計方法,不過這樣的設計方法依然還是有缺陷,使得我自行設計的實驗程式可以通過防毒軟體的檢測,更不用說什麼利用壓縮加殼了,somehow我覺得這有可能成為阿虎哥 [註一] 論文的主要貢獻,如果他的程式可以抓到我的實驗程式的話,那防毒就都不用混啦~~~
所以今天的實驗再次的證明我常跟人家講的一句話─防毒軟體是裝心安的,重要的是你使用網路的習慣,因此,不要以為裝了防毒軟體跟防火牆就天下無敵囉,電腦只要是插上網路線就有危險。
想要知道防毒軟體賣的是什麼藥嗎?你可以參考這篇資安人三月份的文章
註一:阿虎哥,人稱台南之虎,論文題目是從shell code中找出攻擊特徵,為本人遇到組合語言時的求救對象(因為我不會寫@@)
全站熱搜
留言列表
IT技術 (4)