[20081215]UnPacKcN讨论——建立全球可执行文件可信验证库
中国软件安全组织http://www.unpack.cn/images/default/logo.gif
『 一蓑烟雨 』软件安全学院
http://unpack.cn
『 一蓑烟雨 』论坛专注于软件安全领域
以脱壳技术研究和软件安全工具共享为特色
理性宽容
与人为善
UnPacKcN讨论——建立全球可执行文件可信验证库
01.木马病毒等恶意软件网络化泛滥对个人计算机安全带来严重威胁,在杀软力不从心的年代,是否有可能建立新的云安全体系?
02.我们建议:建立全球可执行文件可信验证库
03.尽可能快速的验证计算机里面新的可执行文件是否可信,对于木马等恶意软件的防范很有用处
04.由微软或IBM或Google或雅虎或百度等巨头联合杀软建立可执行文件的可信数据库,对外提供验证接口
05.其实就是收集可信程序的Hash值,Hash算法要保证唯一性和不被模拟性;顺带建立文件信息库
06.与数据签名的差异:只在全球可执行文件可信认证库保存文件Hash值,可认证所有个人或公司开发的非恶意可执行文件,相当于数字签名网络扩展版,验证库更新速度快数量多可广泛普及使用。
07.欢迎大家讨论
http://www.unpack.cn/images/default/fly.gif UnPacKcN Security
© 2004-2008 UnPacKcN. All Rights Reserved.
http://unpack.cn
http://www.unpack.cn
2008.12.15 :lol
支持,不过hash算法挑选要全面考虑 360的文件名和MD5杀毒技术貌似就是这个原理吧。 可信特征码的数量可比不可信的多多了啊 原帖由 q3 于 2008-12-16 09:24 发表 http://www.unpack.cn/images/common/back.gif
可信特征码的数量可比不可信的多多了啊
其实就是白名单和黑名单
可执行文件可信验证库应该都包含的,只做一个也可以 如何判断一个文件是黑还是白 这个是关键吧 原帖由 fireworld 于 2008-12-16 13:09 发表 http://www.unpack.cn/images/common/back.gif
如何判断一个文件是黑还是白 这个是关键吧
验证是否黑白只比较Hash数据或者其他特征码
哪里判断放在分析中心,统一分析识别输出Hash数据和文件信息数据 感觉是不可行 工程浩大 效果也不一定理想
如果我自己写个程序 刚编译好 数据库中肯定没有HASH了 我自己想运行 是不是也运行不了
其实最好的办法还是 用户的病毒防范意识
和 对病毒的法律监管 技术上可行,商业上不行 原帖由 869957 于 2008-12-16 14:06 发表 http://www.unpack.cn/images/common/back.gif
感觉是不可行 工程浩大 效果也不一定理想
如果我自己写个程序 刚编译好 数据库中肯定没有HASH了 我自己想运行 是不是也运行不了
其实最好的办法还是 用户的病毒防范意识
和 对病毒的法律监管
没有说无hash要阻止运行的
黑名单中的hash文件阻止运行,白名单直接放行,无hash可提示运行 原帖由 justlovemm 于 2008-12-16 14:15 发表 http://www.unpack.cn/images/common/back.gif
技术上可行,商业上不行
验证库全球化之后就有商业价值了 结合主动防御,白名单过滤. 原帖由 fly 于 2008-12-16 14:19 发表 http://www.unpack.cn/images/common/back.gif
没有说无hash要阻止运行的
黑名单中的hash文件阻止运行,白名单直接放行,无hash可提示运行
可是还有多数用户对这个提示很感冒 他们根本不知道该选是还是选不是
就像很多人在开启游戏的时候 防火墙或主动防御会有提示是否放行 要求用户自己判断
但是当他们判断完之后 基本游戏什么的是玩不了的……
这种情况并不占少数
[ 本帖最后由 869957 于 2008-12-16 16:24 编辑 ] 原帖由 869957 于 2008-12-16 16:23 发表 http://www.unpack.cn/images/common/back.gif
可是还有多数用户对这个提示很感冒 他们根本不知道该选是还是选不是
就像很多人在开启游戏的时候 防火墙或主动防御会有提示是否放行 要求用户自己判断
但是当他们判断完之后 基本游戏什么的是玩不了的……
...
当可执行文件可信验证库更新速度足够快,就会尽可能的减少让用户决定的情况
这才体现了云安全的意义和效果 只要一云起来就要发晕,会不会有人故意拿恶意程序添加到白名单?