GTI初步了解--月神已经变身

蓝核

楼主不会编辑帖子，让帖子格式好看……所以占楼多一点，看起来不蛋疼

2013年10月2号 第一个版本 开始尝试添加部分格式。附上初稿pdf
2013年10月3号 修改错别字 准备修改部分语句更好理解

推荐pdf，因为pdf至少是遵守了我的markdown格式转化过来的，还不错。论坛这边我无法搞定额……

GTI解密--月神的变身

本文将以咖啡官方提供的相关KB，白皮书，博客为基础，加上本人测试咖啡过程心得，并且参考了卡饭论坛咖啡区部分会员的作品上，简单介绍下月神，也就是我们最新版本的版本的GTI--Global ThreatIntelligence detections.

为了方便讨论，下文中的GTI和月神都是代指GTI，作者将尽可能地统一为GTI，月神大概是在2013年左右改名了。

GTI也是不断发展的，官方的文档9月份都修改了一次……最新的貌似9月24号的。

推荐阅读本文前，先读一下这个http://bbs.kafan.cn/thread-640319-1-1.html

简单地说，就是为了对付更险恶的网络环境，我们开发了GTI。

参考资料

https://kc.mcafee.com/corporate/index?page=content&id=KB65525

https://kc.mcafee.com/corporate/index?page=content&id=KB53735

https://kc.mcafee.com/corporate/index?page=content&id=KB74983

蓝核

什么叫GTI

来自企业版8.8的白皮书，是这么给GTI下定义的。

Artemis 的用途

Artemis 功能对可疑文件执行启发式检查。它可以为使用基于 Windows 的 McAfee 防病毒产品的用户提供针对特定恶意软件的最新实时检测。

Artemis 并不对所有类别的恶意软件提供保护，而只是对可疑样本提供保护。防范特定威胁的好处是：几乎在 McAfee AvertLabs 确定某个样本属恶意软件的同时，就能够立刻保护安装有McAfee 安全产品的用户免受该恶意软件的危害。

您可以配置管理员所配置的敏感度级别，Artemis 使用该敏感度级别来查找在受 VirusScanEnterprise 保护的客户端系统上运行的可疑程序和 DLL。Artemis 检测到可疑程序时，会向McAfee Labs 宿主的中央数据库服务器发送 DNS 请求，请求中包含可疑文件的指纹。

附注： 在本版本中，默认情况下将启用 Artemis 功能，同时其敏感度级别将设为非常低。

官方给予月神的定义或者说一个大概说明是这句

McAfee GlobalThreat Intelligence 文件信誉（以前称为 Artemis）技术

当然，你要是说月神由启发升级到了启发信誉也行……

所以在这里，我们简单地给GTI下一个定义，一个对于流行样本比较敏感的云启发信誉监控扫描引擎。一般来说，在这个背景下，前提要求就是要联网，就好像fs的online引擎的要求就是接入互联网。虽然肯定是有云缓存的。

但是，在这里我仍然要强调的一个事情就是，做云都无法避免的一个大问题，如何避免网络问题，影响安全？

GTI与主动防御，流式更新的不同，特别于自己家的beta DAT有啥不同了？

咖啡的话很长，简单地总结，就是我们不是主动防御，在大量白名单的帮助下，误报更低。而且不占空间不卡。

注意原文：

Anti-malwareprotection products very rarely generate false-positives and McAfee testing hasshown that GTI has a lower false positive rate than existing McAfee DAT files.

比官方的DAT误报还要低！

蓝核

GTI出现在哪？

官方的指南表示，出现的地方包括以下

McAfeeGlobal Threat Intelligence

McAfeeGlobal Threat Intelligence Technology

McAfeeGlobal Threat Intelligence File Reputation

McAfeeGlobal Threat Intelligence Message Reputation

McAfeeGlobal Threat Intelligence Network Connection Reputation

McAfeeGlobal Threat Intelligence Web Categorization

McAfeeGlobal Threat Intelligence Web Reputation

MultipleMcAfee products（McAfeeSaaS Endpoint Protection 5.x

McAfeeVirusScan Enterprise 8.x 等）

McAfeeLabs

我个人觉得，个人版肯定是有的，就看能不能方便简易调节灵敏度了。当然，还有一个产品

http://www.mcafee.com/cn/products/global-threat-intelligence-proxy.aspx

McAfee GlobalThreat Intelligence Proxy (McAfee GTI Proxy)

使 McAfee GTI 能够在 DNS 代{过}{滤}理环境中工作

当然，这个产品跟我们理解的GTI还是有区别的，但是也是借用相关技术，这里不对他进一步讨论。 要想进一步了解，查看该KB。https://kc.mcafee.com/corporate/index?page=content&id=KB71000

如何打开GTI

基本上都是默认打开，就是看灵敏度调节的问题。

个人版可以通过注册表打开，设置GTI的敏感度。详情见http://bbs.kafan.cn/thread-1412975-1-1.html

企业版可以通过设置实时监控和扫描的GTI的敏感度。可以参考这里http://bbs.kafan.cn/thread-1469907-1-1.html

如果你有其他咖啡的产品，参考本KBhttps://kc.mcafee.com/corporate/index?page=content&id=KB70130

注意 咖啡特地提到了一个事情，本地GTI主要是一个传感器的作用，是一个互动的方式，你也可以选择只用它做传感器而不是把它当做启发信誉引擎。

只要设置关闭或者设置非常低即可。

问题是……谁会想关闭GTI啊。没有GTI的咖啡查杀不能看啊。

推荐设置

来自官方

我懒得做表格了……简单地说，你要是觉得自己的机器很安全，低，非常低就行了，正常用就中等。感染或者安全需求大的就是高非常高。

个人推荐直接最高。反正误报少。

蓝核

GTI工作原理和流程

这个标题太大了，我只能简单地梳理下，基本上是个人理解，如果有错，请指出，向您学习了。

为了提高检测率，更好地保护客户安全，咖啡的探测器根据咖啡自己的定的一个恶意软件启发规则，加上对其信誉分析，广泛地对大面积的网络环境中文件进行检查。为了防止误报，也会用一个巨大的白名单进行比对。

一旦确定了某个样本是恶意的，为了避免更新病毒码造成了延迟，将直接通过云端立即推送，只要您的机器与咖啡的云保持联系，不用随时更新病毒码也可以享受最新最全的保护。

咖啡随后将用其他系统或者病毒分析师对这些样本进行再一步分析，去掉可能的误报之后归入beta，最后正式归入到下发的病毒库中。

当然，在本地机器上，如果检测到了可疑的文件，客户端也会立即与云端保持联系进行确认。

本地的GTI会发送什么样的东西到GTI云端？

简单地说，是指纹，包括了咖啡能够确认该文件的最小定位信息，差不多40字节。

当然，如果你愿意合作更多，上传更多详细资料（这句我逻辑不是理的很通，我估计都是要传送的），咖啡会需要以下信息。

携带恶意代码的程序，pdf，apk

可能被感染的主机文件

共享的信息包括以下内容： 版本和产品信息，咖啡的版本和其他信息，内部驱动程序，确定的可疑文件，DAT版本等等。 文件的哈希值 指纹信息 环境信息，会限制在操作系统的版本，恶意样本存在的环境等等，但是绝对不会包含文件名和其他个人信息。

GTI针对的对象

不仅仅是恶意样本，也会包括潜在的有害程序。暂时不支持垃圾邮件，我估计咖啡是不准备用GTI对付垃圾邮件。

蓝核

GTI鉴定表现

就跟FS的online引擎一样（如果是online引擎鉴定出来的，后缀会有online！或者类似变种。），GTI同样也靠特殊的命名方式证明自己。

最新版本的是这个样子

Artemis!1234567890AB

当然，我个人觉得，随着月神的名称被GTI取代，该命名方式不知道会不会被取代，我还是很喜欢这个命名方式的。

命名方式转变应该是这个样子。

Generic.dx

Generic!Artemis

Artemis!1234567890AB

因为GTI的检测一开始是使用通用的命名，也就是那种粗放的命名，但是这样很难区分出哪一个是GTI检测出来的，为了更好地区分，方便万一误报之后可以排除，所以就加了一个Artemis。

后来为了更好地区分，就提取了该样本的MD5的前12个字符作为后缀了。

当然，官方也说了，我们这样做好处多多，有4个了。

1.更方便排除误报

2.可以了解GTI如何确定这个样本，如果该类型不断被GTI报毒，那么你就可以了解相关趋势，也可以顺便了解相关知识。

3.提交样本更方便，只需提交命名代码哦，不用上传了哦~

4.给我们警告的潜在的不受欢迎程序进行更好地排除。

就本人而言，不见得优点那么多……

蓝核

优点

其实很简单，更快更安全，不卡机。

样本区和扫描区表现就可以看出来。

缺点和解决方法

1.咖啡本身的扫描缓存的干扰

由于咖啡本身扫描的缓存不确定保持多久，为了更好地检测，我会建议大家在部分敏感文件剪切一次换个地方在扫描一次。不管是不是月神都建议这么做。

2.不稳定

这是没办法的时候，凡是使用云技术的杀软，都会遇见同一个问题，不稳地。

同一个样本，你报我不报算是轻的。

没有解决方法，毕竟有太多干扰了，想想铁壳和趋势的大陆都抽风，心理就平衡了。

3.云缓存有没有？

这个其实也算2里面的，我单独拿出来说是因为我就没有遇见过云缓存，但是很多会员都测试有。

4.云端检测杀毒后，会有部分处理失败。

当然其实手动删除即可，只是这个样本梗了我很久……一直没有解决。

5.要联网！不然检测率堪忧。

当然现在没有谁不联网了……

6.合并到本地病毒库的时候云端病毒库会先删除病毒定义

该bug解决没解决不清楚，咖啡的前测试员告诉我的。

GTI敏感度的表现

简单地说，如果你设置低或者非常低，那么一天最多10到15次与GTI系统保持联系。如果高或者非常高，那么大概会有20到25次。

蓝核

关于隐私问题

在前面，我们知道了咖啡会发送一个指纹到GTI云端，我们确保以下内容：

该信息不能创建这个上报的文件或者部分内容。

他会显示当前的windows DNS 缓存。

该查询是可以确定的。

注意 咖啡将保留来自匿名客户端的查询日志。

这样方便咖啡使用数据挖掘技术，来分辨恶意软件的起源，发展趋势和形式。

当然在未来，我们的GTI可能会定期发生一个独特的，匿名的信息来告知我们个人用户的软件是否正常工作（真的不是看GTI是不是再在开么……）。这将有助于咖啡知道多少人在使用GTI和他家什么样的产品使用最多。这种方式很类似于现在很多网站使用的cookie技术。当然，这样做我们可以更多的提供GTI服务和信誉服务哦~

如果想了解更多，戳http://www.mcafee.com/us/about/privacy.html

发送的内容是以明文方式发送，只不过会增加额外的身份验证。

总而言之，咖啡在这里的意思就是说，我们很保护你的隐私，我们不会泄露的，就算被攻击也不知道谁发送的信息。

心跳回忆

这个必须支持  

加油，蓝核妹子

hhh900

这是写论文的节奏哦~支持下

驭龙

我是来支持楼主嘀，官方资料不错嘀,慢慢看