订阅数:533903摘录自:柳传志:父亲对我影响最大
建班子的主要内容是:“一把手是有战斗力的班子的核心,第一把手应该具备什么条件,应该如何进行自身修养?第一把手应该如何选择班子的其他成员,其他成员不合标准怎么办?班子的成员如何进行考核?没有一个意志统一的、有战斗力的班子,什么定战略,带队伍都做不出来。宗派是形成团结班子的绝症,要杜绝一切可能产生宗派的因素。”
定战略的主要内容是:1、确定长远目标;2、决定大致分几个阶段;3、当前最近的目标是什么;4、选什么道路到达;5、行进中要不要调整方向。
带队伍的主要内容是:“兵会打仗吗?兵有积极性吗?要让他们学会炸碉堡。事业部体制、舰队模式是不是能调动人的积极性?规章制度定得是不是合理?另外包括激励方式、培训发现人材、企业文化等等。”
原文链接:http://blog.xfocus.net/index.php?op=ViewArticle&articleId=2775&blogId=2
ASTV4是我计划中对引擎修改的版本,本来这个计划还在很远的将来,但因为一个契机,我把它提前了。
在ASTV4之前的引擎,我们内部称为第一代引擎,我们甚至为此写了OEM文档和接口调用文档。至于效果,熊猫烧香一战中大家已经能看到一二。作为我曾经引以为傲的,高速轻载的扫描引擎,就这么划上句号,心理还真有点不舍。
不过我还是执意的开始了第二代引擎的研发,这个内部开发代号“冰毒”的引擎^^。初衷就是要作为一个重量级引擎的架构设计。从引擎的角度看,这将使得AST系列将能够直面迎战国际一流的安全产品,我们这三个月鸟悄的,静谧的,就是在干这事。
ASTV4系列将会有哪些新特性呢,这里先聊几点,更多的大家自己挖掘:):
1、误报处理:
ASTV4将使用快速签名扫描方案,这使得V4版在对微软系统文件不用做误报测试也能做到0误报,同时采用了一种iChecker技术,对我们认证的文件,将不在重复扫描,这会加快扫描速度,尤其是系统目录的扫描。下面是在虚拟机中对系统目录的扫描时间统计。
第一次对Windows系统目录扫描:(花费1分35秒)
目录扫描开始: 2007-06-06 14:42:15
目录扫描结束: 2007-06-06 14:43:50
第二次对Windows系统目录扫描:(花费32秒)
目录扫描开始: 2007-06-06 14:46:47
目录扫描结束: 2007-06-06 14:47:19
2、多维特征:
这是我们独创的一种特征技术,在这一版中,我们将其完善。本质说起来,这也算一种启发扫描。不过在我看过的启发扫描的产品中,除了AVP对
DOS/WIN9X病毒的启发逻辑,NOD32对WIN
API的判断逻辑有一些可圈点外,别的基本都是挂个羊头不卖肉,启发人人会做,做的如何就很难说了,幸好我们这东西又不完全是启发,这里面有一些超越启发的东西,当然还在尽量完善。
3、特征库:
如果说,ASTV3以前的版本还因为特征而惭愧的话,那么从V4开始,特征将会有几何级暴涨,尤其是国外的用户,比如欧洲、日本、美国,这些用户将会看到空前的检出率。不仅如此,我们还特意花了许多时间来优化特征,在同类反木马、反间谍产品中,在同数量级特征的内存占用、检出率等方面,我们绝对领先:)
4、界面:
大家都说AST丑,这次完全贴图重画界面,不使用任何第三方控件和界面库,兄弟们已经基本封装完成一套界面类。慢慢只要美工到位,您就等着惊艳吧。
5、壳识别和脱壳:
不能对抗壳的安全产品,长远角度看,将是致命的。所以在ASTV4中开始了对壳的全面处理,事实上在第一版引擎中,我们引擎内部就已经着手处理了。我们采用了三个结合的方案,取各方案之长来处理壳。不废话,选几个国际上对壳处理比较有特色的产品来对比,看例说话。
测试方法:将测试用的WOLLF.EXE(都能查)放到VM中,进行修改。注:各家在不加壳和加了upx壳后不修改均能脱壳查杀,所以我们直接列出修改后的对比测试。
第一次修改,将测试文件使用Upx压缩,然后通过针对各AV的壳识别特征进行修改,使得修改后的UPX壳各杀毒均无法识别。各家处理流程如下:
NAV:壳识别?错误 → 启发逻辑 → 发现可疑病毒
MCAFEE:壳识别?错误 → 通用解密引擎 → 发现病毒
AVP:壳识别?错误 → 启发识别?错误 → 没有发现病毒
NOD32:壳识别?错误 → 启发识别 → 发现病毒
ASTV4:壳识别?错误 → PE类型分析?成功 →VM ?解密成功 →发现病毒
第二次修改,使用某流行加密壳来处理,测试结果如下:
NAV:壳识别?错误 → 启发逻辑 → 没有发现病毒
MCAFEE:壳识别?错误 → 通用解密引擎 → 发现病毒
AVP:壳识别?成功 → 静态脱壳?成功 → 发现病毒
NOD32:壳识别?错误 → 启发识别?失败 → → 高级启发?→没有发现病毒
ASTV4:壳识别?成功 → 静态脱壳?成功 → 发现病毒
第三次修改,使用某壳,具备加密/压缩,确认各家都无法脱壳查毒,用该壳加密wollf.exe来测试。结果如下:
NAV:壳识别?错误 → 启发逻辑 → 没有发现病毒 (如果设置了高敏感启发则会报警,但该设置误报率很高)
MCAFEE:壳识别?错误 → 通用解密引擎 → 没有发现病毒
AVP:壳识别?成功 → 静态脱壳?失败 → 启发识别?错误 → 没有发现病毒
NOD32:壳识别?错误 → 启发识别?失败 → 高级启发?成功 → 发现可疑病毒
ASTV4:壳识别?成功 → 静态脱壳?失败 → VM ?解密成功 →发现病毒
第四次修改,使用某私用壳具备压缩和保护功能的壳加壳测试,注意本次各家都无法识别出来该私用壳。
NAV:壳识别?错误 → 启发逻辑 → 没有发现病毒
MCAFEE:壳识别?错误 → 通用解密引擎 → 没有发现病毒
AVP:壳识别?错误 → 启发识别?错误 → 没有发现病毒
NOD32:壳识别?错误 → 启发识别?失败 → 高级启发?失败 → 没有发现病毒
ASTV4:壳识别?错误 → VM ?解密失败 → 多维特征?成功 → 发现病毒
你一定会疑问,上面提到了超级巡警V4的虚拟机,那么它的脱壳能力如何呢。在最近完善和狂加脱壳代码后,俺以职业的信安工作者毫不谦虚的说,这可能是你见过最强的脱壳虚拟机,目前内部模块支持上百种,300个版本左右的壳处理,在脱壳能力上远超越NAV/Bitdefender/NORMAN
AV/这些国际大厂,在脱壳数量上是国际上仅次于AVP的产品,相反,我们与AVP不同的机制实现和处理方案,使得我们今后在脱壳领域完全可以与AVP一较长短。
关于虚拟机脱壳,方便的话我们会在今年XCON上出个议题。
虽然我说的比较大,你下载后可能会有一些失望,无法立刻就体会到功能的好坏,这原因很简单,我们打造了强悍的AK,还需要足够的弹药才行。另外稳定性和可靠性还需要时日,低级的BUG也可能有许多没发现,架构一大测试压力就大,做个产品杂活太多,俺打着打着杂就老忘了正事,这里欢迎兄弟们使劲儿批评。
不过已经有了强悍的AK,接下来的事儿,就看咱怎么风骚了。
Follow me !
2007-06-01 01:00 作者: 出处: 论坛整理 责任编辑:原野
玉兔病毒档案
玉兔病毒会试图破坏安全模式,使用户无法进入该模式杀毒。玉兔病毒在每个盘符生成病毒文件和Autorun.inf文件,只要双击盘符就可以进行感染。玉兔病毒会结束安全软件及其他一些常用的安全辅助工具。玉兔病毒还修改注册表导致用户无法正常查看隐藏的系统文件,从而达到不被查杀的目的。
http://www.pconline.com.cn/pcedu/soft/gj/others/0706/1042368.html
又到了每周一次派成绩单的时候了,上周太平洋电脑网软件下载排行榜的结果已经出来。今天我们看到排名又发生变化,一些软件象今天的股市一样的下跌了,不过还有一些国内蓝筹在上升。
上周稳坐钓鱼台的Vagaa痛失老大地位,被PP2006赶上,下载量相差29734次,卡巴斯基从老六一下子跳到了三甲位置。
而腾迅QQ果然无愧国内即时通讯业老大的称号,从十名不入,到跳上了第四名,进步很大。这期榜单的最后一台是MSNShell,下载量只有29517,排保100位。
国产反木马产品“超级巡警”凭借周下载量37510次和总下载量529275次,荣登TOP100排行榜90位,在新生代反木马产品中立拔头筹,势头强劲!
最近偶然参与了朋友公司(一个非常低成本运做的小公司)的一个危机公关的运做,近乎零成本的情况下,在没有什么业内人际的情况下,实现了非常广泛的 传播效果(成为当天的焦点新闻),不但澄清了事实,还对本身的产品服务做了充足的推广,而且事后对方的二次反应相当正向积极,事情圆满解决,完全符合预 期,这个故事不多讲了,知道的就知道了,不知道的也没什么可解释的,但是整理了处理过程中的几点准则,可以作为一些经验总结备忘。
第一条, 永远站在事实这一边,这是俞军说过的,当你站在事实这边的时候,事实也就站在你这边。很简单,很有效,很基本的一个原则。有这么一个故事,有个有名的律 师,据说一辈子没败诉过,结果有人问他,你为什么如此牛B,一辈子没败诉过?他说,其实原因很简单,他从来不为坏人辩护,当然,这个故事是杜撰的,因为好 与坏往往不是那么容易去贴标签的,但是我宁可相信这个简单朴素的故事,相信要永远与事实站在一起。
第二条,强调网民和用户的体验,特别是当你面向公众提供服务,网民和用户 的诉求点是必须着重强调的。
第三条,面向大众进行问题描述,这里必须明确的一个是,你不要有一个固定的所谓对手的概念,你所的文字不是给对手看的,不要陷入技术挑战模式或与对手纠缠某些深奥理论细节的陷阱里,你的公关文字必须是给大众看的,那些细节你不用关心,让大众理解你的所做所为就可以了。
第四条,适当留有余地,正如同古时候打仗,你围城四面,对方只好拼死防守,你网开一面,对手往往会弃城而逃,危机公关,要旨是澄清自己,并提升自己形象,置对手于死敌,听上去很不错,但是实际上既不现实,也不好操作,适当留有余地,更容易完成事态的妥善解决。
第五条,还有一个文字上的小窍门可以有效提升传播率,转载率的小窍门,效果相当不错,想想还是不公开了,公开了一些垃圾枪手也许会滥用。
其实传播的奥秘有很多值得讨论的小窍门,但是真正值得总结的,也许只有两条,第一,基于事实,第二,正确定义并了解你的受众。千万记住你的受众是公众,而不是对手公司。
有点自豪,虽然是大家的集体杰作,但是觉得自己,总算还能在网络上弄点动静。
实事求是的科研方向与二十年的艰苦努力--在国家某大型项目论证会上的发言
第182期(2006-12)
一、华为的一些实践
华为公司作为一家高科技企业,从创业开始,就始终坚持市场的商业成功为导向,一切投资、一切管理的改进都紧紧围绕产品的市场商业成功,尤其摒弃的是脱离商业成功导向的、唯技术的创新。这种盲目自傲的创新,对于我们没有资金来源的公司来说,无异自杀。
华为在过去的18年里每年坚持投入销售收入的10%以上在研发上,尤其是最近几年,有超过二万五千名员工从事研发工作,资金投入都维持在每年70、
80亿元以上,经过十八年的艰苦奋斗,至今为止,华为没有一项原创性的产品发明,主要做的、所取得的是在西方公司的成果上进行了一些功能、特性上的改进和集成能力的提升,更多的是表现在工程设计、工程实现方面的技术进步,与国外竞争对手几十年、甚至上百年的积累相比还存在很大差距;对于我们所缺少的核心技术,华为只是通过购买的方式和支付专利许可费的方式,实现了产品的国际市场的市场准入,并在竞争的市场上逐步求得生存,这比自己绕开这些专利采取其他方法实现,成本要低得多,由于我们的支付费用,也实现了与西方公司的和平相处。
原作者: Mark Henricks | 译者: 安步当车 (Blog)
| 发表时间:2006-12-25, 14:38
这是一个创建过几家企业、年近60的创业者的总结。有几条的确是金玉良言,值得收藏。选择部分内容翻译如下:
借huangmin兄的文档往电子文档安全的主题里放 :)
在huangmin提到的五点中:
1、在利用笔记本电脑满足我们移动性需求的同时,如何防止其被盗或丢失?铁卷除了“防笔记本电脑失窃”这块无法满足之外,其它都能比较完美地解决了,自得一下先 ;)
2、笔记本电脑被盗或丢失的情况下,如何保障其中的秘密信息不被泄漏?
3、如何防范在笔记本电脑接入互联网时,秘密信息在不知不觉中被黑客盗走?
4、如何防范身边的人,利用使用者的疏忽或系统脆弱性,窃取秘密资料?
5、如何防范个别员工,经不起竞争对手的引诱,主动窃取并泄漏秘密资料?
《程序员》杂志的编辑约我写一篇命题作文,想了几天都无从下手不知道写什么才好。在这篇文章里,我不打算将创业的艰辛与喜悦重新回忆一遍,我确实不想去误 导大家,因为我所处的年代是一个物质缺乏的年代,成功相对来说要容易得多。每个人的成长经历都有其个性化的东西,每个人的成功创业经验虽然有一些可以遵循 的普遍规律,但一般来说都很难复制,成功需要不断地创新。
对于今天很多的年轻人来说,一味注重技术至上的观念刻骨铭心,其实很多时候努力并非一定有回报。事实上,有不少出类拔萃的人才往往做出来的产品就是卖不 掉,因为设计者压根儿就不了解用户的需求和心理以及产品功能的恰当定义,而总想在同事及其老板面前卖弄自己的技术和产品功能。其实有很多思维性的东西恰恰 是很多人所忽视的,因为从一开始的出发点就错了,怎么可能取得辉煌的成绩呢?所以有时拥有卓越的技术并不一定代表人生的成功,很多企业就是死在一些自命不 凡的“卓越人才”手中。
在HuangMin's Blog上看到这则报导(这位兄台的博览很让我敬佩,现在他的Blog已经成为我看这些报告、数据的一个绝佳去处),说实话,虽然现在时间很晚,人也有些疲倦了,但在看到“内容安全浮出水面”、“内容安全产品有望高速增长”这样的分析时,精神还是为之一振,一年多的辛苦,深圳和哈尔滨两拨兄弟近乎每天超过12小时的埋头写代码,打造出来的“铁卷电子文档安全系统”和“超级巡警恶意程序防御系统”两套软件产品,应该说在技术上已经比较成熟和领先了,看来,还是有机会一博的。
前天刚想了一句“大成天下:做最专业的桌面与内容安全产品”,嘿嘿,看来这个方向抓得没错。
下面是转载的《IDC:2006年我国安全市场形势分析》全文:
本文转载自HuangMin's Blog,原文参见链接。
在AberdeenGroup 2006年8月的“The Messaging Security Benchmark Report”报告中,超过70%的被调查者认为内部信息泄漏对于他们的组织是巨大的风险。
在《Loose Lips Sink Ships: Messaging Information Leak Prevention Matters》这份研究报告简报中,指出了通讯信息泄漏防护(Messaging Information Leak Prevention)方案应该考虑的因素,并对各厂商产品作出了如下的比较:
Powered by Haiwit
