打赏
+ 284.00雪花
| 打赏次数 22 | 雪花 + 284.00 |
IamHuskar
|
+1.00 | 2019/08/02 | 9 |
代码狗
|
+1.00 | 2019/07/01 | 有点看不下去了,加油兄弟,中国互联网安全就是需要你们这些人!!!! |
万有引力_158940
|
+20.00 | 2019/04/15 | 支持一下,360很恶心了 |
|
张炜
|
+10.00 | 2019/04/15 | |
lotpe
|
+10.00 | 2019/04/15 | 加油!!! |
Xneo
|
+100.00 | 2019/04/15 | 只能改打赏了,支付不了 |
|
RNGorgeous
|
+20.00 | 2019/04/14 | 支持一下大佬 |
一位没有留下痕迹的看雪读者
|
+10.00 | 2019/04/13 | |
FckTheDog
|
+10.00 | 2019/04/13 | 生活不易 |
Hellxd
|
+10.00 | 2019/04/13 | 老哥加油! |
黑手鱼
|
+10.00 | 2019/04/12 | 加油 |
|
一位没有留下痕迹的看雪读者
|
+1.00 | 2019/04/12 | |
Caln
|
+2.00 | 2019/04/12 | |
|
Caln
|
+1.00 | 2019/04/12 | |
|
Caln
|
+10.00 | 2019/04/12 | |
goldengod
|
+2.00 | 2019/04/12 | rmb 不多. 且行且坚强. 祝顺利. 主动上门找个专利收购的乙方也是不错的选择 |
|
bang9
|
+1.00 | 2019/04/12 | |
秀树
|
+20.00 | 2019/04/12 | 支持。支持你小弟对你以及你对你小弟的情谊。 |
|
一位没有留下痕迹的看雪读者
|
+20.00 | 2019/04/12 | |
天水姜伯约
|
+5.00 | 2019/04/11 | |
|
天水姜伯约
|
+10.00 | 2019/04/11 | |
r0Cat
|
+10.00 | 2019/04/11 | 楼主是未来中国的希望之光,必须支持~ |
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
诱捕并不是创新思路吧,古老反抗病毒时代就有exe文件诱捕,分类备份可以申请专利,那分类查毒能不能申请专利
最后于 2019-4-11 20:13
被KooJiSung编辑
,原因:
|
|
|
尊敬的审查员您好! 审查意见指出:对本领域技术人员来说,根据防范的病毒的类型不同构建不同的文件类型以及在检测到诱饵有变化时禁止相关操作,这是本领域的惯用技术手段,在对比文件1公开了防范勒索软件以及对比文件2公开了通过构建诱饵文件来防范并且当诱饵文件有变化时向用户报警并请求采取措施的基础上,容易想到权利要求1的技术方案且易于实现。对此,申请人持有不同看法,申请人认为: 首先,审查意见中扩大了“诱饵”的描述范围,因为在计算机系统中,不仅是文件,有很多对象都可以成为诱饵,例如监控注册表的内容,监控进程的变化,内存的变化,线程的变化,以及各种可执行文件等等。 对比文件2公开的技术方案是针对于.COM、.EXE等与系统稳定性相关,且会被文件病毒攻击的可执行文件,设计可加载运行的诱饵程序,通过检测诱饵程序的变化来发现病毒并采取相应措施,其目的在于通过保护可执行文件来保护系统稳定性,而权利要求1所保护的技术方案是会由于针对勒索软件的攻击而导致完整性被破坏的数据文件,设计数据类型的诱饵文件,通过检测诱饵文件的变化来发现勒索病毒并采取相应措施,其目的在于保护数据文件完整性,而不是针对系统稳定性。换句话说,由于设计初衷的不同,就结果而言,对比文件2无法防护勒索软件类型的病毒,而本申请权利要求1所保护的技术方案的设计思路,可以保证的是数据文件的完整性的高效预警,也就是说,采用本方案可能无法防御木马、感染型病毒、后门、或者流氓软件而导致的系统崩溃,但是依然可以把硬盘拆下来再挂到正常运行的系统中,以便把有价值的数据文件拷贝出来,而对比文件2公开的技术方案则无法解决。再次强调,本申请权利要求1所保护的技术方案的设计思路只保证数据文件(不包括可执行文件)的完整性,而不保证系统的稳定性,采用对比文件2的技术方案无法解决勒索软件病毒的防护问题,并且,对比文件2中对诱饵文件产生界定方式并不明晰,没有明确的说明,诱饵文件是自己产生的,还是选择将磁盘上的某个文件设定成诱饵文件,本申请的设计思路已经明确说明,文件是数据类型的文件(非可执行如.com 或.exe文件),是自己生成并插入到磁盘中,这手法上的不同点会导致误报率准确度的大大不同(下文会说明导致此结果的原因)。因为在对比文件2所公开的那个时代(1994年),在民用领域,系统稳定性优先级要远远高于数据文件的完整性。但是当勒索软件到来时,由于勒索软件的特殊性,导致数据文件的完整性优先级要远远高于系统稳定性,勒索软件根本就不会去破坏系统。因此对比文件2并未给出技术启示,本领域技术人员没有动机将其与对比文件1结合以解决保护数据文件完整性的问题。 因此,对比文件2仅给出了在解决系统稳定性的问题时采用诱饵技术的启示,而对比文件2的技术方案本身也基本不具有实用性,理由如下: 首先,对比文件2采用的设计明显是针对于感染型病毒,而06至07年在virut,sality这两种巅峰级感染型病毒之后,感染型病毒彻底落寞,甚至销声匿迹。取而代之的是木马、后门及流氓软件,而我们知道后面这三者是可能会拖慢系统速度,也许也会破坏稳定性,但是他们都有一个特点就是他们不会感染其它的可执行文件,所以这套设计就只能对06年到07年之前的感染型病毒有效。 其次,如果针对感染型病毒使用诱饵文件技术的话,误报率将会高到用户与安全产生都无法接受的程度!我们知道在一个系统之中,导致可执行文件产生变化的原因有很多,例如系统更新、系统升级、打补丁,软件升级、使用破解工具破解软件,甚至用户自己误操作等等,都会导致可执行文件内容与长度的变化。但对比文件2中没有说明如何判断这种更改是来自病毒还是来自正常操作。而本申请把两者两种情况都假设以下,第一、如果选择磁盘原有的可执行文件做诱饵的话,那么必然存在系统或软件更新时的误报问题,第二、如果选择构造新的可执行文件做诱饵的话,则存在与其它安全产商的冲突性问题。因为当一个磁盘多出一个可执行文件时,会被各大杀毒产商的主动防御,发生误报冲突。 但构造数据类型的“诱饵“文件来防御勒索软件是不会存在这样的问题的。因为首先我们是构造新的文件插入到磁盘中,不会自动去用磁盘中原有的数据文件做诱饵,如果实在要用磁盘中原有的数据文件做诱饵的话,那么必须用户自己手动选择(保证用户知情,这样就不存在误报的冲突)。而各大杀软是不会对数据文件的改变做报警处理的。因此首先就大大降低了安全产商的误报率。其次,由于是数据类型文件,所以系统升级,软件升级的等根本不会影响到这些文件。所以可以再进一步减少误报率。同时由于用户对诱饵文件是已知情的情况,这时误报率就能降低到用户自己误操作或者勒索软件操作了(因为正常软件以及安全软件对数据诱饵文件的改变概率都已经被排除了)。而如果是用户自己误操作的话,由于用户已经明确知道哪些是诱饵文件,所以用户的误操作这块也排除了。那么剩下的只可能是勒索软件操作了。 要验证上面的说法是非常简单的,在一个windows系统下安装360杀毒软件,然后在系统C盘中放置一个不小于1MB的普通可执行文件,360杀毒软件会马上弹框报警,这就属于误报。或者写个程序直接把C盘上某个可执行文件设成诱饵文件,那么只要文件发生变化,例如正常的更新(更新会影响到程序代码),也会引发误报警。而如果把txt(或doc,jpg这些数据类型非可执行)文件放到C盘根目录,则不会引发报警,因此,采用数据文件作为诱饵文件的防御方式只适合对付勒索软件,因为勒索软件只会破坏数据文件完整性,但不会破坏系统稳定性。 再次、用诱饵文件对感染型病毒进行预警是没有什么实际意义的,这个原因是因为感染型病毒虽然会改写可执行文件,但不会破坏可执行文件,它改写的目的是为了更长久的驻留。感染型病毒的特性,是检测容易并且理论上是可还原的,所以哪怕全盘的可执行文件中了感染型病毒,然后用专杀工具查杀修复,可执行文件都可以被还原。也就是从实质层面来说针对感染型病毒能即时报警固然好,但如果即时报不了警,也是有挽回的余地的。实在不行把有用的数据文件拷出来,再重装个系统也能解决。这也是对比文件2提到的技术没有被实际运用的原因之一,能检测到固然好,检测不到也无伤大雅。也就是说最坏的情况是即使中了感染型病毒,花点时间是可以解决的。 而勒索软件理论上对数据文件加密是不可破解的,只有支付了相应的费用才会恢复,因此勒索软件的出现对数据完整性检测准确度要求达到了一个前所未有的高度,倒逼着安全防护的领域重心从系统稳定性向数据文件完整性转移。虽然方向产生了变化,但是绝大多数安全策略工程师的思维重心并没有产生变化,他们绝大多数依旧习惯性试图在用保证系统稳定性(主动防御对进程、注册表、内存等监控等方法)的思路来不停的尝试解决数据完整性的问题,这一点从审查员引用的对比文件1中有关RansomWare的应对与防范一节所记载的内容中可以进一步得到印证,这一节所列举的三种应对与防范措施包括:1、树立安全意识;2、预防为主,备份是关键,3、求助解决,不要轻易汇款,其中并未提到本申请所保护的技术方案。 而且,从2005年第一款勒索软件至本申请的申请日之前,勒索软件不间断爆发过程中,没有任何一篇文章、专利或产品有提出过用本申请的技术方案来防御勒索软件,因此审查员给出的论断“显而易见并且惯用手段“是无法成立的。 下面再举一些事实层面的辅助证明: 在本申请公开之后,用了该技术的国内公司,有360(写在驱动里)、瑞星(瑞星的智慧之剑用的就是这个技术)、火绒(用的诱捕技术也是这个原理),国内还有其它大大小小的公司很多都用了,但都是本专利公开之后才用到相同的技术点的。国外用了此技术的公司有(以下为国外公司产品链接): https://ransomfree.cybereason.com https://www.checkmal.com/en/ https://www.winpatrol.com/winantiransom/ https://www.foolishit.com/cryptoprevent-malware-prevention/ 勒索软件在2015年就已经在国内爆发,在本申请公开之前,没有任何一个版本的反勒索软件用到此技术,但是在本专利公开之后,过一个月,360就出了同功能的产品。瑞星则是在wannacrypto爆发时出了类似技术的产品,火绒大概在17年7月份左右出的。也就是说,勒索软件已经各种爆发时,360,瑞星,火绒这些大型安全公司都没有采用本申请的技术。 最后再次强调:无论是各类病毒扫描引擎与主动防御体系,其设计初衷都是指向维护系统的稳定性,在数据文件完整性安全策略领域,在本申请出现之前,最多就是各种备份策略。备份属于防御策略。不属于检测策略,在本申请出现之前,不存在对数据完整性的高效实用的检测策略,数据文件完整性和系统稳定性二者可剥离,完全不是一个领域。 |
|
|
在ND待过一阵子,来支持下楼主,加油!
|
|
|
|
|
|
|
|
|
|
|
|
1、拱火和质疑没什么意义。 2、我不怕死磕不代表我喜欢死磕。360是做的太过了,期间有无数次大事化小,小事化了的机会他都完美的错过了(例如我在湖北的那段艰难时光,他当时只要把握给招了,招个人才多少钱嘛?这专利就等于白送,那么现在就是360拿着专利去告各大小厂商的节奏了)。但是他不仅是完美错过,还狠狠在我脸上踩上两脚,这就 是可忍,孰不可忍了啊! 3、并不会把各大杀软告上一遍的,你在这里不必拱火,我也可以很直接跟你说。安全厂商只要不过分,我才懒的这么搞,举个例子,比如说火绒也用了诱捕技术对吧,那么等我专利下来了我可能会象征性收取一点费用,但他要是真没钱那也就算了。我告诉你为什么?因为火绒对安全领域还做了很多正向作用,我敬他是条汉子,又处于创业期,真没钱的话我能理解,象征性的给点也就是了。也有朋友怂恿我去告毒霸,毒霸是我的老东家啊,我的代码风格就是从那里培育出来的,我们怎么可能去告它?象征性的收点就OK,1块钱总有吧:),说这么多只是想强调我并不是一个斤斤计较,不好说话的人。一句话,朋友来了有好酒,豺狼来了有猎枪,哪怕没有猎枪也不介意与豺狼徒手肉搏! |
|
|
感谢兄弟支持 
|
|
|
感谢兄弟支持
|
|
|
|
|
|
感谢兄弟支持 |
|
|
|
|
|
|
|
|
|
|
|
 穷学生没支付宝,就论坛余额里有几块钱。希望楼主维权成功。 |
|
|
感谢兄弟支持 |
|
|
感谢兄弟支持
|
|
|
感谢兄弟支持
|
|
|
感谢兄弟支持
|
|
|
前辈,尽我绵薄之力帮助你吧,已转你支付宝。。。
|
|
|
感谢兄弟支持
|
ilyzqe
三十二变
