王團研究室 初體驗

王團研究室？那幹嘛的… 可以吃嗎？

第一次聽到這名詞還以為我聽錯了，其實是風之谷裡面的王蟲。



簡單說，王團研究室是電腦王雜誌的一種行銷活動。
它定期/不定期地舉辦一些資訊相關的論壇、講座、研討會等活動，
除了主辦單位電腦王與其他提供主題/贊助的協辦單位，還有一群人…
他們就叫做王團，這群人主要是雜誌讀者群中的所謂 "power user"。

因為陸續寫了幾篇跟防毒有關－－正確地說是跟 Sophos 有關的文章。
有在接觸這個 (電腦雜誌、資訊媒體) 的朋友告訴我這個活動資訊：

王團研究室—防毒必招-零時差守護之術
1.必修課程：認識USB病毒
2.菁英課程：主動防禦、即時截毒─防毒雙刀流
　沒有萬能的防毒─不可不知的外部救援妙招
3. OPEN BOOK隨堂測驗
4. Q&A時間

這邊不禁想問：有沒有行銷活動的名稱一定要取得這麼誇張的八卦！
我來翻譯一下：意思就是這是一個跟防毒有關的講座。主要有兩門課，
一是IT達人教你認識USB病毒；一個教你什麼是「主動防禦」的防毒機制。

主動防禦？ 嗯… 聽來有點耳熟，那不就是我日前寫的《淺談HIPS》嗎？
而USB病毒則似乎是 Sophos 近來主打的噱頭，反正九月早就排滿滿的了，
也不在乎多這一攤，而且邀請對象也包括「部落客」，於是乎我就去了 XD


認識USB病毒

以往不管是教科書或是補習班，只要講到病毒免不了洋洋灑灑分了好多類。
不過在這堂課，老師僅分成三類，並統一命名為惡意軟體 (Malware, Malicious Software)
它們包括木馬程式 (Trojan)、蠕蟲 (Worm)，與系統安全相關 (通常指 M$ 的各種漏洞:Q)
USB 病毒通常也以這兩種型式被儲存在 USB儲存裝置當中。

其中最常見的感染方式就是透過 Windows 的「自動播放」功能，
在 USB 儲存裝置連到電腦時，直接透過「自動播放」存取裝置，並啟動(activate)病毒程序。
這堂課學到最有用的就是「如何關閉 Windows 的自動播放功能」：
執行 > gpedit.msc > 電腦設定 > 系統管理範本 > 系統 > (右邊) 關閉自動播放
其他諸如惡名昭彰的兩隻 USB 病毒的介紹和歷史以及一些陰謀論就沒特別引起我的興趣。


主動防禦的防毒機制

這堂課就是由 Sophos 的工程師來講解了。
一開始當然免不了要介紹一下他們家的歷史… 沒說不知道，說了才曉得大有來頭。
原來現有的防毒軟體品牌雖然不下百種，但真正有核心引擎研發能力的還是在少數，
包括趨勢、諾頓、Sophos等，是屬於那少數，而其他品牌則是買他們的引擎重新包裝。

雖然沒有其他證明輔佐，不過以 1985 年創立到現在超過20年的資歷，應該是有兩下子。
也是他們自己說的，還有一點：Gmail內建的掃毒就是用 Sophos 的。
如果是真的，那我可要眼睛一亮了！

前文《淺談HIPS》中提到的「入侵防禦機制」，在 Sophos 這邊則是一個叫 Genotype 的東西。
瞇著眼睛仔細看了一下 Sophos 英國官網中的介紹：

Sophos Behavioral Genotype Protection is a Host Intrusion Prevention System (HIPS) that monitors code on a computer, and blocks any that would behave maliciously before it is executed. Unlike other runtime HIPS, which monitor running code and intervene once they believe suspicious behavior has occurred, Sophos Behavioral Genotype Protection identifies and blocks malicious programs before execution.

裡面唯一的重點就是最後那兩個字，這個 Behavioral Genotype Protection也採用HIPS的機制，
且「號稱」能夠在「惡意軟體被執行之前」就攔截阻斷它們，這當然是一個拿來行銷的好字眼！
但若真的技如其名，能將惡意軟體的行為模式以「基因」的方式辨別，輔以廿多年的病毒經驗累積，
看來似乎也不是辦不到。

只是正確率有多高？誤判率有多低？難道別家一樣歷史悠久的防毒廠商就做不出來嗎？
這些問題… 恐怕就跳脫本次課程的討論範疇之外了 :P

一樣是出自課程中的資訊，現在的病毒層出不窮日新月異，甚至是最夯的社交網站也有。
雖然我也玩了包括 facebook/twitter/plurk 等東西，但還沒有遇到講師說的那種病毒型式：
首先是有在存取那些社交網站的電腦中毒，接著病毒會入侵受害者在那些社交網站上的帳號，
接著用那些帳號發佈含有病毒的訊息 ←某種程度上跟「媽～我被抓了快救我」這種詐騙電話很像。

這些社交網站或微網誌中的資訊，是比較不容易被 Google 等搜尋引擎紀錄下來的，
換句話說對防毒廠商而言，沒有辦法透過網路蒐集的方式去取得在社交網站中散佈的病毒資訊。
接下來帶來的結果，就是沒辦法更即時地更新病毒碼並有效保護可能中毒的使用者。
這時候，入侵防禦，甚至主動防禦的機制就更顯得重要。




王團活動

除了台上學到的東西，台下的活動和互動也挺有意思的。

Sophos 一開始曾推出下載病毒測試自己防毒軟體功力的活動，那些病毒當然都是四方蒐集而來，
這舉動似乎也造成了一些議題與質疑，而這件事也出現在活動中進行的小問答中。
有個小弟弟 (小學生吧！了不起國一！) 答對課堂中一個關於 Linux 的問題…
領了小獎品還不滿意，後面還追問「病毒收集的著作權疑慮」(當然他的表達能力沒那麼清楚)
最後被講師一句「沒有人敢宣稱某某病毒的著作權是他的」給打回去。
我說… 靠北那根本就是來踢館的吧 XD

另外中場進行的免費病毒檢測活動，我也把我的小狗機帶去給他們玩玩。
可能是剛換了新硬碟 (泣)，所以還滿乾淨的關係吧，並沒有掃到什麼病毒，
倒是看他們用一個 USB 急救碟，直接完成開機、掃毒、解毒的動作，真是挺炫的呢！
事實上這個 USB 急救碟的介紹可以算是第三堂課。

因為我好狗運抽到那顆急救碟，而且已經有執行急救掃毒的動作過了，到時整理一下再寫一篇。
而且我的好狗運還不僅於此呢，另一個NB包也被我抽到了 XDDDDD
雖然一開始純粹是抱著湊熱鬧的心情去參加的，壓根兒沒想到抽獎這回事，
連獎項有些什麼都是到抽獎之時我才知道，但竟也讓我摸走一個NB包 (H)
這也是活動的另一個好玩之處：有好康！

以前工作時常參加公司舉辦的研討會，雖然也是見識到很多，但性質總是比較嚴肅一點，
這次參加的這個活動倒是相對有趣，唯一遺憾的就是主辦單位跟參加的人裡面都沒有㊣妹！

---