楼主: B100D1E55
收起左侧

[分享] 动态启发逃逸大法

  [复制链接]
B100D1E55
 楼主| 发表于 2017-2-5 10:04:05 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-2-5 10:21 编辑
天剑 发表于 2017-2-5 09:35
任何厂商不会因为这篇文章而改进。如果厂商连这些浅显的道理都不懂就太次了,只是没有找到解决的方法而已 ...


我可没说我这篇文章能让厂商怎么样这些都两年前的过时技术了,但真要说两年前仅靠这些低级技术已经足以让很多引擎歇菜了不也挺讽刺的。而且顺着这个思路还有其他很多漏洞和fingerprinting技巧可以挖掘,去年还有不少这方面work,这个课题还没过时

只不过某天看到某家在今日还在反复强调本地启发的重要性,贬低云拉黑,所以就适度吐槽一下。你以为厂家就很聪明么,纯粹工程师思维领导下的闭门造车并不少见,不然做研究的炮灰就少很多了,这个时间就可以证明
B100D1E55
 楼主| 发表于 2017-2-5 10:06:42 | 显示全部楼层
jefffire 发表于 2017-2-5 09:51
仿真成本太高了。找一个缺点只需几天,补一个缺陷需要几周几个月。

云端分析,对抗起来也不是很难。只要 ...

我觉得进一步发掘本地启发已经非常不实惠了……至于云端问题,反制措施肯定是有的吧。目前我也就看到一些结合Inetsim和Tor的伪装方法,估计还有更好的技巧。。当然能fingerprinting的漏洞也很多
天剑
发表于 2017-2-5 10:27:29 | 显示全部楼层
B100D1E55 发表于 2017-2-5 10:04
我可没说我这篇文章能让厂商怎么样这些都两年前的过时技术了,但真要说两年前仅靠这些低级技术 ...

对我个人而言,本地引擎足够了,电脑了也没有很重要的东西,打个比方,一个银行卡余额两位数的人非要用六位数的密码来保护,太浪费了。
B100D1E55
 楼主| 发表于 2017-2-5 10:36:50 | 显示全部楼层
天剑 发表于 2017-2-5 10:27
对我个人而言,本地引擎足够了,电脑了也没有很重要的东西,打个比方,一个银行卡余额两位数的人非要用六 ...

很多人都这样想的,所以僵尸网络的肉机数量不少啊
天剑
发表于 2017-2-5 10:50:11 | 显示全部楼层
B100D1E55 发表于 2017-2-5 10:36
很多人都这样想的,所以僵尸网络的肉机数量不少啊

这个不用怀疑吧,我相信很多潜在的后门是很多杀软都没有发现的。
柯林
发表于 2017-2-5 10:57:33 | 显示全部楼层
灭灭之痕 发表于 2017-2-3 23:40
动态启发的模拟的环境的确是存在非常大的局限,虽然理论上能够补充静态启发的很多不足,但是实际运行为了考 ...

不用启发,直接运行判定,提取特征即可。按照非白即黑模式,简单粗暴有效——不认识的先阻止了再说,等云端返回放行指令再开闸。
实际上这个比的就是资源占用:杀软厂商靠国家为后盾,征用政府级别才用权使用的超级计算机、量子计算机,及时运行分析一个程序,小菜一碟,关键编写好自动跟踪分析程序,一分钟一亿个毒的分析鉴定随便玩。造毒者喜欢靠手工编毒来对抗超算,让他忙活去
柯林
发表于 2017-2-5 11:00:44 | 显示全部楼层
天剑 发表于 2017-2-5 10:50
这个不用怀疑吧,我相信很多潜在的后门是很多杀软都没有发现的。

根源出在本身上,这个确实无解。也许,将来某一天,操作系统自己定制或编写,一切也就作古了。
罗曼语
发表于 2017-2-5 11:00:51 | 显示全部楼层
多谢科普
天剑
发表于 2017-2-5 11:05:55 | 显示全部楼层
柯林 发表于 2017-2-5 11:00
根源出在本身上,这个确实无解。也许,将来某一天,操作系统自己定制或编写,一切也就作古了。

说不定周总,马总,李总的电脑都是肉鸡。。。。
B100D1E55
 楼主| 发表于 2017-2-5 11:06:09 | 显示全部楼层
柯林 发表于 2017-2-5 10:57
不用启发,直接运行判定,提取特征即可。按照非白即黑模式,简单粗暴有效——不认识的先阻止了再说,等云 ...

滞后用户运行时间的想法是很美好……但是自动机提取的特征广谱性不够的话,自变形恶意程序也可以自动化产生大量新的的恶意程序,十台天河都不够用,用户被挡着不能运行程序只能关掉杀软
金山当年就号称98%都可以快速鉴定,实际上不还是很多转人工
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 04:01 , Processed in 0.086064 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表