Weitere ähnliche Inhalte
Ähnlich wie 11/14王團研究室—安全大師王團論毒 in台中 (20)
11/14王團研究室—安全大師王團論毒 in台中
- 5. 典型的攻擊媒介 駭客會危及 合法網站的 URL 新手段! 攻擊者可透過 社交網路詐騙技術 ( 偽裝編解碼器 ) 讓使用者受到感染 網站可以利用漏洞 (偷渡式下載)來攻擊使用者的瀏覽器 5 合法 網站
- 8. 2007 全年的 特徵數 986,463 2008 年新增的 特徵數 1,656,227 2008 年偵測到的獨特檔案數 1.2 億
- 18. 1000 個 1000 數量 成員 變種 驚人 X = 30 PPI PPI PPI PPI
- 29. 將 DVD 檔案轉換 為 IPOD 格式 複製家庭照片 和文件 瀏覽網際網路 下載檔案 安裝應用程式
- 31. 基本上,我們要做這麼多事。 實驗 1 : 效能物件 (TypePerf) 實驗 2 : 閒置時的效能 (TypePerf) 實驗 3 : HTTP 下載 (WGET) 實驗 4 : 壓縮 / 解壓縮 (7ZIP) 實驗 5 : 檔案複製 / 移動 / 刪除 實驗 6 : 實驗 6 :應用程式安裝 / 移除 (MSI) 實驗 7 : 網頁瀏覽 (HTTPWatch) 實驗 8 : 電影檔案轉換 (HandBrake) 實驗 9 : 開機時間測試 (Perflog) 實驗 10 : XPerf for Windows 7 和 Vista
- 32. S B G 諾頓 產品 A 產品 B 諾頓 諾頓 諾頓 諾頓 諾頓 產品 A 產品 B 檔案作業 壓縮 HTTP 下載 Web 瀏覽 電影檔案轉換 開機速度
- 33. 效能數據從何判別? rocessor(0) Processor Time rocessor(1) Processor Time rocessor(0) Idle Time 中央處理單元 emoryvailable Bytes emoryommitted Bytes rocess(explorer)irtual Bytes 記憶體 hysicalDisk(0 C:) isk Writes /sec hysicalDisk(0 C:) Idle Time rocess(explorer) O Write Bytes /sec 磁碟
- 34. Gnu WGET 7-Zip HandBrake HTTP-Watch STOPKY Perflog Microsoft MSI XPerf 工具組 免費
- 36. 其實你不必一直待在電腦前 typeperf – cf ..erfmonerfmon.ini -si 1 -f csv -y -o ..erfmonest_name.csv + = START /min 「 test_name 」 ini
- 42. HOW? 1. 從 URL.TXT 中讀取要造訪的下一個 URL 2. 在記錄 模式下 啟動 HTTPwatch 3. 指示 網頁瀏覽器 上載 URL 4. 將效能衡量標準記錄成 CSV 格式 BROWSE.VBS url.txt
- 45. F2 = 設定 F10 = 開機功能表 正在啟動 Windows… 開機時間呢?
- 47. 一樣不必拿碼錶 透過 WMI 查詢「 到達桌面時間 」 每秒輪詢一次 CPU 佔用百分比 計算每個時間間隔,前提是 CPU 小於 5% 當 CPU 小於 5% 時,連續等待 10 秒 如果 CPU 達到峰值, 重新開始 計算 完成上述作業之後,記錄 目前時間 計算 兩個時點 之間的差值 開啟指標檔案 ( REPEAT.COUNT ) 按 1 遞減,並儲存檔案 BOOTTEST.VBS
- 48. 一樣不必拿碼錶 啟動時執行 CSCRIPT BOOTTEST.VBS CALL SEND-RESULTS.BAT 如果我們的指標檔案存在 ( REPEAT.COUNT ) , 那麼執行 SHUTDOWN –r –t 1 否則,從 StartUp 資料夾中刪除捷徑,以防陷入無休止的迴圈當中 BOOTTEST. BAT
- 49. 步驟整理 COPY BOOTTEST.lnk USERPROFILE%Start MenurogramsStartUp COPY REPEAT.INI REPEAT.COUNT SHUTDOWN –r –t 1 StartUp repeat.ini
- 50. 步驟整理 CSCRIPT BOOTTEST.VBS CALL SEND-RESULTS.BAT Decrease REPEAT.COUNT SHUTDOWN –r –t 1 StartUp 取得開機時間 在 CPU 小於 5% 時等待 10 秒 取得目前時間 計算差值 repeat.count
- 63. 在我們繼續討論之前,先來瞭解一個大問題 數百萬的檔案變種 ( 可靠的和惡意的 ) 遺憾的是,對於普及度較低的數千萬檔案,哪種方法都不管用。 9 以此推斷,我們可以得出下面的圖表: 惡意檔案 可靠檔案 普 及 度 白名單在此有效。 而在這條長尾區域,需要一項新的技術。 黑名單在此有效。
- 86. 信譽發展時間表 32 2006 年 8 月 提出概念 2007 年 1 月 模擬顯示 信譽 非常有效 2007 年 8 月 諾頓社群防衛 (Norton Community Watch) 選擇性加入程式來收集匿名資料
- 87. 諾頓社群防衛 33 * 自 2009 年 6 月 9 日起 306,416,980 * 獨特檔案的匿名資料 28,950,154 * 選擇性參與者
- 88. 信譽航程 - 時間表 34 2006 年 8 月 提出概念 2007 年 1 月 模擬顯示 信譽非常 有效 2007 年 8 月 諾頓社群防衛 (Norton Community Watch) 選擇性加入程式來收集匿名資料 2008 年 8 月 諾頓智慧型掃描 略過對高可信度檔案的掃描
- 89. 諾頓智慧型掃描 大大減少了不必要的掃描作業 35 掃描次數減少 諾頓只分析不受信任的應用程式 由線上智慧型系統提供後台支援 根據 Norton Community 或 Norton Trust 判斷程式的可信度
- 91. 信譽航程 - 時間表 37 2006 年 8 月 提出概念 2007 年 1 月 模擬顯示 信譽 非常有效 2007 年 8 月 諾頓社群防衛 (Norton Community Watch) 選擇性加入程式來收集匿名資料 2008 年 8 月 諾頓智慧型掃描 略過 對高可信度檔案的掃描 今天 諾頓「信譽」 攔截 新型 惡意軟體
- 92. 信譽的效果 完全相符的特徵 和啟發式技術 38 不掃描 攔截 允許 可能會 漏掉很多 惡意檔案 ( 行為攔截功能 和 IPS 會捕獲這些惡意檔案 ) 諾頓 2010 不掃描 掃描並允許 攔截 警告 ( 極少數使用者,最近發佈的,並非來自主流發佈者 URL) 完全相符的特徵 即時更新 諾頓可信任 諾頓信譽 惡意 諾頓信譽 安全 諾頓信譽 警告 100% 信任 100% 不信任 2009 年與 2010 年競爭對比 諾頓可信任 完全相符的特徵 和啟發式技術 即時更新 100% 信任 100% 不信任 100% 不信任 100% 信任 傳統 產品
- 96. 諾頓信譽 使用實例 首次透過 IE 、 Firefox 等下載程式 用戶端在檔案的信譽 比較差時予以攔截。 下載是傳播新型惡意軟體的主要手段。 使用者以滑鼠右鍵按下程式圖示,可選取即時查詢「信譽」服務來取得最新的資訊。 可以隨時按需查詢任何可執行內容。 一般特徵或行為攔截功能偵測到一種新型威脅。 信譽資料可用於降低極其普遍的誤報偵測帶來的風險。 快速掃描執行時 ( 通常每天一次 ) 用戶端在檔案的信譽 比較差時予以攔截。 驗證所有執行中的程序、驅動程式以及記憶體。 本機啟發式掃描懷疑惡意軟體。 用戶端在檔案的信譽同時比較差時予以攔截。 啟發式技術和信譽是互不相關的,因此,我們將二者結合使用時,可以捕獲更多惡意軟體,而不會導致誤報率增加。 在以下時間檢查信譽: 五個不同的使用實例: 我們的與眾不同之處不在於雲端本身,而在於雲端所提供的資訊 下載時 以滑鼠右鍵 按下檔案 誤報 緩和 掃描 執行中的程序 主動 啟發式技術 雲端掃描技術 雲端一樣可用來提供傳統特徵。 這有助於解決傳統特徵更新間隔期間的問題。
Hinweis der Redaktion
- 1
- 2
- 3
- 4 4
- 5
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49