putty.org 下载的 putty 被金山卫士鉴定为木马，这还能用吗？

看 md5

@Bryan0Z 没有使用迅雷之类下载哦，直接右键保存的

@PHPwind 好多运营商喜欢缓存常用资源，缓存里一大堆带毒的，检查 md5 最靠谱

不能
看 sha1

放个链接没用。同样的链接，你下载的，可能和别人下载的不一样。
你得把把文件样本放上来。

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

这个页面并没有提供 md5 和 sha1 码，怎么对比一致？

我下载的信息是：
MD5: 33C9D1E56152E212367E9C5B01671E45
SHA1: 9DED3CE2AE09C37CA173BBD3DCB57258B72CDBD5
CRC32: A5C15E01
求鉴定

不能，应该是被运营商劫持了；
ftp://ftp.chiark.greenend.org.uk/users/sgtatham/putty-latest/x86/putty.exe
FTP 下载，被投毒的机率低一点。

@PHPwind 这个页面不是提供了 md5 sha1 了嘛？
点 md5sums
http://tartarus.org/~simon/putty-snapshots/md5sums

页面上有, 你没看到
MD5
http://the.earth.li/~sgtatham/putty/0.66/md5sums
SHA1
http://the.earth.li/~sgtatham/putty/0.66/sha1sums

@PHPwind MD5 是一样的。

@XhstormR MD5 SHA1 鉴定一致还是被报毒

去 viruscan 试试？

金山的锅？

@Bryan0Z 鉴定 md5 一致，是否就可以强制添加白名单放心使用啦？

果然， 刚才试着下了一个最新版 md5 就不对， 之后再 vps 上下完再拉回来才对

金山也不是啥好鸟

@ashong 我下载的一致，但是被报是木马

用吧，金山确实会报毒
https://ooo.0o0.ooo/2016/02/13/56bf234badba3.png

呃，这种应该是常用软件了吧。
这都能爆毒可见这货误杀率绝 b 不低啊

一致
就换杀毒软件咯

@Bryan0Z 这是什么网站？

@caomu http://www.virscan.org/

@243205964 打开 503 Service Not Available

@PHPwind 2 小时前还能打开的。。。天亮了试试？

下载国内软件不用杀软，只能以毒攻毒，下载国外软件用国外杀软

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

这个才是 putty 官网， putty.org 不是，同时也不要使用任何的汉化版本。

windows 果然处处蛋疼。。

用 secureCRT 吧

@jo32 http://www.putty.org/ 这个页面给的下载链接就是 http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

如果文件校验一致就是金山的锅，国内的金山瑞星还是不要用了，微点火绒这些还是可以用用，哪怕 360 的技术实力也足够

不能用了，我指金山卫士。

@PHPwind
@243205964
@caomu
网址拼错了，是这个:
www.viruscan.org

@Bryan0Z 啊呸…我弄错了，网址没错（逃

@PHPwind 现在可以打开了

@Bryan0Z 这个是。。。看不懂。。

@yylzcom 文件校验一致内容可能也被改写过，至少 MD5 是不可信的

@alexapollo 至少 MD5 和 SHA1 都通过。

@alexapollo 给个碰撞的例子

@alexapollo 要能够构造出碰撞，还恰好是可执行的，带病毒的。。

下载链接 http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
SHA1 http://the.earth.li/~sgtatham/putty/latest/sha1sums
SHA256 http://the.earth.li/~sgtatham/putty/latest/sha256sums

只有一款国产报毒
https://www.virustotal.com/en/file/b10922648f6ad71f3f20b9acdfacf9aeff706cad6c52737cdc426307ccfa51d9/analysis/1455422227/

曾经汉化版带毒。
不放心换 xshell 吧，感觉更好用。

@jo32 putty.org 是官网呀。你怎么说不是官网

@PHPwind 为什么 putty 的官网会打 bitwise ssh 的广告。

@jo32 这个我怎么知道咯，但是那个确实是官网，并没错

@PHPwind

Domain Name:PUTTY.ORG
Domain ID: D11895559-LROR
Creation Date: 1999-10-31T01:44:32Z
Updated Date: 2014-10-02T12:36:18Z
Registry Expiry Date: 2019-10-31T02:44:32Z
Sponsoring Registrar:CSL Computer Service Langenbach GmbH d/b/a joker.com a German GmbH (R25-LROR)
Sponsoring Registrar IANA ID: 113
WHOIS Server:
Referral URL:
Domain Status: clientTransferProhibited
Registrant ID:CORG-70158
Registrant Name:denis bider
Registrant Organization:
Registrant Street: St. Christopher Club
Registrant City:Frigate Bay
Registrant State/Province:St. Kitts
Registrant Postal Code:W.I.
Registrant Country:KN
Registrant Phone:+1.8697621410
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email:[email protected]
Admin ID:CORG-209224
Admin Name:denis bider
Admin Organization:
Admin Street: St. Christopher Club
Admin City:Frigate Bay
Admin State/Province:St. Kitts
Admin Postal Code:W.I.
Admin Country:KN
Admin Phone:+1.8697621410
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email:[email protected]
Tech ID:CORG-209224
Tech Name:denis bider
Tech Organization:
Tech Street: St. Christopher Club
Tech City:Frigate Bay
Tech State/Province:St. Kitts
Tech Postal Code:W.I.
Tech Country:KN
Tech Phone:+1.8697621410
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email:[email protected]
Name Server:NS1.BITVISE.COM
Name Server:NS2.BITVISE.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
DNSSEC:Unsigned

@jo32 请问哪里有问题哦？这是官网， v2 也没人说不是官网呀

@jo32 很抱歉，我没有看到有 bitwise ssh 的广告

@PHPwind 看 nameserver

我也不能证明这不是 putty 官网，除非我找到来自于作者的消息明确指明这不是官网。不过据我的推测， putty.org 更可能是 bitwise 的广告页面。

@9hills 这个早就证明了呀 md5 签名是有问题的 完全可以修改内容后保持 md5 不变 乌云上有介绍的文章

@jugelizi 碰撞都是特意挑选的例子。根本实现不了随意的替代。

就以这个 putty.exe 为例吧，你可以试图去碰撞一个另一个可执行的恶意程序出来我看看。。

@jugelizi 求详细介绍文章。我只知道碰撞使得两张图片 MD5 一样的，至于任意修改文件而保持 MD5 不变还没听说过。这样做的成本未免太高...

@9hills
@yylzcom

http://drops.wooyun.org/papers/12396

@jugelizi 现在又多了个问题，这个是不是官网？

@PHPwind http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

@jugelizi

你这个文章里描述的是 md5 同为 md5 c 的两个程序一个是恶意程序，一个是正常程序。
但 http://the.earth.li/~sgtatham/putty/0.66/md5sums 这个 md5 应该是 md5 b ，这种碰撞文章里没有介绍，个人理解应该也是碰撞不出来的，否则添加尾部数据 Y 这一步就多余了。

当然，不能排除我们拿到的这个 md5 就是添加了尾部数据 Y 的 md5 c ，但由于这个 md5 是 putty 官方发布的，如果 putty 官方不可信，上面的这些讨论就没有必要了。

金山坑爹的。