楼主: 水墨静音
收起左侧

[讨论] 关于小a的加强模式,用小a也请不要胡说去误导他人,请给我正名!

  [复制链接]
qftest
发表于 2016-8-8 10:11:57 | 显示全部楼层
BFAX 发表于 2016-8-8 00:41
。。我佩服你的耐心,作为卡饭的一个路人其实我觉得为这件事开个帖子都浪费时间

其实想想,这种事情 ...

确实,我本以为三言两语就可以讲清楚的,事实上也说得很清楚了
但是那位不知道哪个村的不学无术的伽利略捧着缺字少页的圣经歪着嘴巴变形解读我的原话,死缠烂打非要借此树立其打假英雄的光辉形象,即便耐心如我也开始感到不耐烦了,只好给他一个大嘴巴
不是想要官方的权威解释么?既然看不懂“国外网友”的发言同时也对其不以为然,那么,VLK是avast的CTO首席技术官(现任COO),DS和HM可以说就是VLK带着一帮技术员搞起来的,VLK说的话够权威了吧?
嘲笑我说的“在这里,suspicious特征就是行为特征“(VLK表示“非常准确”),伽利略继续暴露他的无知
嘲笑我引用的“国外网友”的帖子(VLK认可并引用),伽利略再次暴露他的无知,他是真的看不懂啊,没有相关的知识储备,怎么能看懂相关术语背后的引申含义呢?
纵观全帖,伽利略的无知又何止这两点?
别人如果遇到不懂的,会聆听、思考、实验、最终去伪存真消化吸收为自己的知识,而伽利略呢?——被他奉为圣经奉为神器的前帖所引的官方链接的介绍并没有错误,然而无知的伽利略却不知道HM并不仅仅依靠信誉库——狂妄、自大、充满攻击性、一知半解却又执着的以偏概全,他不是来追究真相的,他是来刷存在感的
好吧,我认为你说得没错,不必再为这种事情浪费时间,此帖无论伽利略将来再弄出什么类似于xx技术员的xx权威解释我都不会再作任何回应,对他那种人确实应该省点力气
饭@avast
发表于 2016-8-9 17:46:57 | 显示全部楼层
本帖最后由 饭@avast 于 2016-8-9 17:49 编辑

我也问了,稍微详细些,给楼主和你们一点参考吧。



@qftest @BFAX

VLK也说IDP的行为防御不久会整合进avast

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qftest
发表于 2016-8-10 01:17:48 | 显示全部楼层
本帖最后由 qftest 于 2016-8-10 19:51 编辑
饭@avast 发表于 2016-8-9 17:46
我也问了,稍微详细些,给楼主和你们一点参考吧。


这个撕逼帖还没结束说实话让我感到有些意外
但我不介意继续跟帖阐述我的观点,因为我觉得全帖只有你在58楼以及tomochan在62楼的回复是比较有营养有意义的,所以我乐于与你们继续交流
由于某些人的胡搅蛮缠使得本帖显得比较杂乱,我建议先将我在本帖所有有关“中等”的原话给整理一下,这有助于更好的讨论有助于避免被某些人故意歪曲混淆黑白:

[mw_shl_code=css,true]
《7楼》
http://bbs.kafan.cn/forum.php?mo ... 60&pid=38130514
中等会检查目标是否存在恶意行为特征,只要存在疑似恶意的行为就阻止运行,我个人将之理解为“最高敏感度的基础行为分析”


《12楼》
http://bbs.kafan.cn/forum.php?mo ... 60&pid=38130648
至于小a为什么阻止该程序运行就要问官方了,小a拦截时并没有说明具体理由是什么,只能根据官方对增强模式的相关解释来猜测小a是因为检测到了该程序的某些“异常动作”——而根据我的理解这是“最高敏感度”,无论是不是真正的恶意行为,小a只需要认为“疑似”即可拦截


《54楼》 对伽利略的回复
http://bbs.kafan.cn/forum.php?mo ... 60&pid=38133089
不知道HM的触发条件是什么、更要命的是同时也不知道supsicious特征是什么东西、不知道HM此分析非DS彼分析
我没有一句话肯定的说HM等同于行为分析器,你“帮”我肯定了;我没有一句话肯定的说你那个安装包“安装过程前就执行了其他动作”,你还是“帮”我肯定了;我没有一句话肯定的说“加强模式检测到了软件异常动作”,你仍然“帮”我肯定了,谢谢


《61楼》 对你的回复
http://bbs.kafan.cn/forum.php?mo ... 60&pid=38137052
讲道理,小a我几年前用过,当时对小a宣传的HM新技术颇感兴趣于是查询一番,留给几年后的我的印象就是前帖所提,不知近年HM是否改进而有所变化
自沙盘进化为DS后,所有符合suspicious行为特征定义的可执行文件(exe/com/scr...)都会自动激活DS行为分析器,如果分析结果不足以达到bad级别就会放行执行;而HM中等则会拦截所有具备suspicious行为特征的可执行文件(也就是链接所说的“所有会触发DS“的文件),在这里,suspicious特征就是行为特征(触发DS行为分析的suspicious特征),强调一下,是行为特征,而不是一般意义上的“跟踪式的达到某阀值后阻止”的行为分析过程。这就是驭龙所说的HM与DS之间的微妙关系,这就是"preliminary analysis",这就是此分析非彼分析,这就是我说的HM“中等会检查目标是否存在恶意行为特征”的本意,这就是我为何将之理解为“最高敏感度的基础行为分析”(自动拦截所有具有suspicious行为特征的可执行文件的执行,或许文字描述不够精确,但我就是这么理解并记忆的)


《63楼》 对tomochan的回复
http://bbs.kafan.cn/forum.php?mo ... 60&pid=38137203
“HM是不同信誉等级拦截”这个描述并不准确,因为没有考虑到new的情况,在信誉库中没有executable file的new的信誉时,DS在这种情况下是自动触发行为分析并将结果入库,HM怎么办?参见上帖,这里不再重复
此分析非彼分析,我不知道是否有人注意其中的区别,这关系到HM如何触发
此外,对于云端白名单,HM中等是“部分依赖“,激进是”更多的依赖“,希望这不是文字游戏


《79楼》
http://bbs.kafan.cn/forum.php?mo ... 60&pid=38160823
我说过,这个加强模式的相关资讯是几年前我在玩小a时所了解的,是几年前,虽然我相当肯定当时在小a官方论坛见过官人“中等”与行为分析有关的介绍,遗憾的是我记不得具体的帖子链接只好随意google了几个帖子以佐证。
与VLK的邮件交流


《81楼》 对BFAX的回复
http://bbs.kafan.cn/forum.php?mo ... 60&pid=38166751
“在这里,suspicious特征就是行为特征“(VLK表示“非常准确”)
被他奉为圣经奉为神器的前帖所引的官方链接的介绍并没有错误,然而无知的伽利略却不知道HM并不仅仅依靠信誉库
[/mw_shl_code]

让我们提炼一下,使之更加清晰一目了然:

[mw_shl_code=css,true]
《1.》中等会检查目标是否存在恶意行为特征

《2.》为什么阻止要问官方...根据官方解释来猜测...

《3.》对伽利略的回复
HM的触发条件...supsicious特征...HM此分析非DS彼分析
我没有一句话肯定的说HM等同于行为分析器...我没有一句话肯定的说你那个安装包“安装过程前就执行了其他动作”...我没有一句话肯定的说“加强模式检测到了软件异常动作”

《4.》对你的回复
几年前用过...留给几年后的我的印象...不知近年HM是否改进而有所变化
符合suspicious行为特征定义的可执行文件(exe/com/scr...)都会自动激活DS行为分析器
HM中等则会拦截所有具备suspicious行为特征的可执行文件
在这里,suspicious特征就是行为特征(触发DS行为分析的suspicious特征)
强调一下,是行为特征,而不是一般意义上的“跟踪式的达到某阀值后阻止”的行为分析过程
此分析非彼分析
这就是我说的HM“中等会检查目标是否存在恶意行为特征”的本意
这就是我为何将之理解为“最高敏感度的基础行为分析”(自动拦截所有具有suspicious行为特征的可执行文件的执行,或许文字描述不够精确,但我就是这么理解并记忆的)

《5.》对tomochan的回复
“HM是不同信誉等级拦截”这个描述并不准确,因为没有考虑到new的情况
此分析非彼分析,我不知道是否有人注意其中的区别,这关系到HM如何触发
对于云端白名单,HM中等是“部分依赖“,激进是”更多的依赖“

《6.》对BFAX的回复
“在这里,suspicious特征就是行为特征“(VLK表示“非常准确”)
官方链接的介绍并没有错误...但HM并不仅仅依靠信誉库[/mw_shl_code]

现在,让我们看看VLK邮件内容的关键部份

第一封邮件在79楼,http://bbs.kafan.cn/forum.php?mo ... 60&pid=38160823
该邮件基本还原了我在61楼对你的回复,显然VLK支持我以下观点:1、中等会检查目标是否存在恶意行为特征;2、HM中等会拦截所有具备suspicious行为特征的可执行文件;3、在这里,suspicious特征就是行为特征(触发DS行为分析的suspicious特征)

第二封邮件里,VLK支持我以下观点:1、是静态的(分析/判断)、文件没有完全执行——(不是一般意义上的“跟踪式的达到某阀值后阻止”的行为分析过程);2、运用了各种技术,例如代码仿真、启发式分析、智能云数据(机器学习等)——(HM并不仅仅依靠信誉库)(对于云端白名单,HM中等是“部分依赖“);3、在样本运行的时侯没有行为分析——(HM此分析非DS彼分析)——这是理所当然的,HM在检测到可疑行为特征的时侯就阻止样本运行了,HM入口检查的任务已完成,而样本若能成功运行就说明通过了HM的可疑行为特征检查

在此我觉得有必要再次强调两个容易混淆的地方:
1、强调一下,是行为特征,而不是一般意义上的“跟踪式的达到某阀值后阻止”的行为分析过程
2、HM此分析非DS彼分析
因为我发现很多人有意无意的忽视这两点


最后很高兴得知avast计划整合IDP,这将弥补“在样本运行的时侯没有行为分析”的弱势,这绝对是个好消息!
非常期待新的avast





您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-30 11:26 , Processed in 0.095054 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表