English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Tetcon 2013 - Phát hiện virus đa hình với chữ ký ngữ nghĩa  XML
  [Discussion]   Tetcon 2013 - Phát hiện virus đa hình với chữ ký ngữ nghĩa 26/01/2013 13:04:18 (+0700) | #1 | 273054
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Hi all,
Không thấy bác nào thảo luận về nội dung các bài thuyết trình ở TetCon 2013 cả. Mình xin đặt câu hỏi đầu tiên với bài Phát hiện virus đa hình với chữ ký ngữ nghĩa.
Nội dung trình bày liên quan đến LLVM và SMT solver để giải quyết bài toán nhận dạng signature của polymorphic viruses, ý tưởng có sáng tạo nhưng mình thắc mắc 2 vấn đề sau:
1. Data input. Trong trường hợp chỉ có 1 tập lệnh vài chục lines hay vài trăm KB compare với nhau thì speed chấp nhận được. Nếu theo như phương pháp trên, scanner có phải quét toàn bộ file's content để compare với tập chỉ thị mẫu hay không?
2. Dựa trên ý tưởng 1, 1 anti virus hoạt động còn phải cân bằng với tốc độ quét. Vì vậy thường AV chỉ seek đến 1 số specific location để quét nhằm mục đích giảm thời gian quét 1 file. Vậy tác giả làm cách nào để giải quyết vấn đề không phải scan hết file và tốc độ như thế nào để implement vào 1 AV như ClamAV?

Thank you.
[Up] [Print Copy]
  [Discussion]   Tetcon 2013 - Phát hiện virus đa hình với chữ ký ngữ nghĩa 26/01/2013 23:36:47 (+0700) | #2 | 273066
mrro
Administrator
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
Hai câu hỏi này đã được đặt trong phần Q&A cuối bài của anh Quỳnh. Câu trả lời của tác giả là: chưa làm vì hai phần này không phải là trọng tâm trong nghiên cứu này của tác giả.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Discussion]   Tetcon 2013 - Phát hiện virus đa hình với chữ ký ngữ nghĩa 27/01/2013 22:06:58 (+0700) | #3 | 273094
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Thanks mrro.
[Up] [Print Copy]
  [Discussion]   Tetcon 2013 - Phát hiện virus đa hình với chữ ký ngữ nghĩa 11/02/2013 22:17:22 (+0700) | #4 | 273401
totden
Member
[Minus]    0    [Plus]
Joined: 07/10/2008 02:37:47
Messages: 17
Offline
[Profile] [PM]
Theo e hiểu thì:
E chưa rõ tốc độ cụ thể thế nào, nhưng việc đến 1 vị trí cố định để scan thì dựa theo phân tích.
Cái này chỉ là việc chọn 1 kiểu chữ ký mới thôi a ạ. Theo e mỗi file nó chỉ scan vài chục lines thôi ạ.
[Up] [Print Copy]
  [Discussion]   Tetcon 2013 - Phát hiện virus đa hình với chữ ký ngữ nghĩa 26/02/2013 22:48:40 (+0700) | #5 | 273705
LeVuHoang
HVA Friend
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Theo ý của tác giả là nếu virus có nhiều biến thể (variants) thì sử dụng phương pháp trên vẫn có thể phát hiện ra được mà không cần cập nhật lại signature.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|