2008-09-07

不得不公佈!現在還有大廠在使用檔案大小判毒!

又有兩家廠商偷機被我抓包了!這兩家大廠居然用檔案大小的方式判斷病毒!
防毒軟體依據技術能力的不同,有技術有資金的廠商,會試著把解殼引擎、啟發引擎等加強
但是這兩個部分的加強不是說加強就可以馬上加強,如果程式設計師沒有具有一定的程度
是沒有辦法設計出一個有效的解決方案!

所以有些時候會出現一些沒什麼技術成分,卻又不恰當的偵測方式
例如檔案名稱以及雜湊值判斷!檔案名稱故名思意就是根據檔案名稱判斷
像一直以來都很猖獗的機器狗病毒,假設機器狗所有變種都會產生一個abc.sys的檔案..

並且做為它的中心驅動,那有些廠商如果無法從技術上做抵禦的方法
可能就會開始走一些偏門,例如只要在windows\system32下產生的abc.sys一律報毒的這種做法!

或者是用雜測值偵測的方式,雜測值是一種資訊摘要演算法,兩個不同的檔案
是不可能得到相同的雜湊值,不過MD5已被破解,但這個不在這次的討論範圍內!
所謂的雜湊直就是利用SHA-1或者是MD5檢測檔案是否符合
只要一符合或又同時達成其它必要條件(例如檔案位置所在)既會報毒!

上述兩種方法一直都存在,像我在去年曾經踢報過金山毒霸利用檔案名報毒



當時就覺得太誇張了,但是到了今天更讓我驚訝的是現在居然有廠商用檔案大小來報毒!而且兩家都不是沒有技術跟資金的小廠商..

這兩家廠商分別是在最新一次AV-TEST獲得非常優異成績的BitDefender以及AVIRA兩家知名大廠

他們私底下就我所知應該無任何技術交流,但是他們卻都用了同一種方式報毒
這種方式也不像樣本交換所導致出來的問題,因為它是經過引擎判斷結構
還有檔案大小後才做出來的判斷!

首先是BitDefender它報Trojan.Generic.74723
在以前有些人曾經猜測過,有些AV的定義名尾段這些奇怪的數字是什麼?
有些人覺得是某段的特徵長度,或者是由機器判斷的編號,也有人說是基因編號,也有人說是隨機產生不代表任何意義!

以上猜測我個人不予以否認,但是今天發生的事情讓我相信檔案大小偵測還確有其事!



不過只看BitDefender看不出個所以然來!AVIRA報的就清楚多了!
AVIRA把這個樣本報做TR/Agent.271995



請注意最後那段奇怪的數字271995,它居然跟樣本的檔案大小一致!



我把樣本解壓縮後再用BitDefender還有AVIRA再掃瞄一遍,居然沒有報了!
然後我又直接對樣本壓縮檔刪去或是增加檔案,讓檔案大小改變
最後確定檔案大小只要不是271995byte,它們就都不報了..
也由於BitDefender的關係,導致GDATA也有這個問題



直接使得AVK 2009的高偵測率受到了多少質疑,因為我自己已經開始思考..
這兩家AV究竟靠這類的方式,不一定是檔案大小這樣的方式!
而是類似這種靠檔案大小判斷的投機方式
到底額外獲得了多少偵測率?這真是一個有趣的問題!

高偵測率的背後究竟還有多少不為人知的問題?
就一般人而言,他們只重視偵測率,認為偵測率高就是最好
但是評判一個AV好或壞,偵測率絕對不是唯一或是最重要指標
但是又有多少人能夠看輕這一點呢?

1 則留言:

  1. 好...好可怕阿...
    沒想到居然有這種投機的報毒方式

    這比單純報殼還令人感到不可思議

    回覆刪除