onHacks

掃毒軟件能夠檢測殭屍網絡嗎？Stuart Staniford 告訴我們是不到60% 。我想這對我們大多數人來說，是一個“不”。好驚訝？其實不是的。如果你在這個行頭有點認識，這是舊新聞了。而我，只是一位愛好者。

Stuart 用 VirusTotal 和 FireEye 的調查結果作為一個惡意軟件的來源。究竟有幾準確？Stuart 承認，數據的準確性有一點誤差，而我也算是外行人，並不能夠說 VirusTotal 有多準確。試圖推斷一下，如果任何人都可以提交一份樣本去 VirusTotal ，有可能有相當數量的樣本，根本就從來沒有接觸甚至少數的人，或有些人寫自己了出來提交上去，但沒有流放於外。而 FireEye 的惡意軟件來源，我會假設它是由實際環境中收集，並有一定的可信性，但我不知道他們的客戶是甚麼人。這是我的想法對他的調查結果的想法。所以，我認為只有 一部分是涉及我們大多數所關心的。所以，可能不至於60%的差。

看了調查後，當然對行情又多了點認識。我不相信單單的 Signature Matching（這還不是每個字節的matching！ ），但我認為掃毒軟件仍然能確定檢測一些流行的惡意軟件，尤以那些經常滋擾普通用戶的人。對於一些新的檢測，特別是“討厭的萬惡之源”的 rootkit ，有 Tim Fraser 的新研究。不過，如果你要求完美的檢測，是沒有辦法做到的。