查看: 3956|回复: 12
收起左侧

[转帖] 究極啟發奧義︰ESET ThreatSense技術

[复制链接]
navetix
发表于 2008-6-6 18:37:03 | 显示全部楼层 |阅读模式
一般的啟發式是以"規則啟發"來作為啟發式判斷的依據,而這種方法優點是規則設的好,很好抓威脅,但是隨之而來的是誤報(高低取決於規則優劣).

而之前曾和000110提起過,ESET ThreatSense技術事實上就是與威脅資料庫合而為一的"動態啟發".

這樣的做法優點是:
1.高啟發率.因為只要威脅特徵碼取的好,啟發式的判定就會相當精準,誤報率自然降低很多.

2.不用時常更新規則.透過每天的威脅資料庫更新,啟發式也跟著"更新",可以說是"活的啟發式".

3.降低威脅特徵碼數量.看過卡飯每天的掃瞄測試,就會發現ESET靠啟發式偵測數量很驚人,常常一佔就是8,9成.像是報:"a variant of"這類的,是屬於啟發式沒錯,但是只要一個威脅特徵碼,"a variant of"能報的就很多,沒有再入庫的需要.

或許有人會問,難道ESET就只靠威脅資料庫就能有71%啟發率,0誤報?這背後除了優秀的虛擬機外,當然也包括第一段所提的"規則啟發".

像是:"probably a variant of","New_PE"這類的屬於"規則啟發",也就是最原始的啟發式,這種的只要上報就會成為每天更新名單裡的(X)之一.之後就變成了"a variant of".

當然,還是有缺點:
1.要有高品質的威脅特徵碼.因此ESET入庫的時間非常緩慢,往往就是要好幾個禮拜甚至幾個月.但是隨之而來的卻是高偵測,低誤報的"a variant of",省去很多入庫的需要.

2.要有很多威脅特徵碼.這點就和第一點所提的一樣,由於入庫緩慢,ESET所能"動態啟發"的數量就比較少,需要靠"規則啟發"來支援.

在下敢說,ESET如果把所有"動態啟發"都改成"威脅特徵碼",數量會和Kaspersky的威脅特徵碼差不多.但是ESET靠"動態啟發",省去"很多"的威脅特徵碼.

目前市面上應該只有ESET有這樣的構想,說它是"究極啟發奧義",在下認為一點不超過.相信5月的測試出來,ESET又會再次提升啟發率了.


轉帖自AVPClub,經integear同意轉帖!

其他討論:http://www.avpclub.ddns.info/discuz/thread-11073-1-2.html

[ 本帖最后由 navetix 于 2008-6-6 18:47 编辑 ]

评分

参与人数 1经验 +2 收起 理由
傻猪猪米走鸡 + 2 感谢提供分享

查看全部评分

navetix
 楼主| 发表于 2008-6-6 18:38:51 | 显示全部楼层
最近有人提出關閉ThreatSense以延長ID期限,那ESET就跟"閹割"了沒兩樣.

支持ESET,就支持正版!
zwl2828
发表于 2008-6-6 19:39:07 | 显示全部楼层
究极...
mhj144007
发表于 2008-6-6 19:44:13 | 显示全部楼层
原帖由 zwl2828 于 2008-6-6 19:39 发表
究极...


哈哈!!!臺灣香港那邊的話,沒辦法哈
Guace
发表于 2008-6-6 21:37:12 | 显示全部楼层
呵呵,支持研究挖掘!
顶了
spaceplane
发表于 2008-6-6 21:54:20 | 显示全部楼层
这帖写的。。。。哎
diaojf
发表于 2008-6-6 22:27:15 | 显示全部楼层

个人理解并已验证(纠正一下):

"可能是XX的变种"、"新的_PE"、““XX的变种””这类名字不确切的报警一般属于高启启发式报警。
而指出确切名字的报警一般属于病毒库报警。

推断:高级启发肯定会调用病毒库的,要不连名字都报不出来。!

病毒库:
扫描已成功完成
扫描在 0 秒 内完成。
已扫描对象数: 28
被感染对象数: 8
已清除对象数: 0

E:\555\Kafan VirList[080525]-1\080525-1-7.dll - Win32/Adware.Virtumonde 应用程序
E:\555\Kafan VirList[080525]-1\080525-2-0.exe - Win32/IRCBot.AGH 特洛伊木马
E:\555\Kafan VirList[080525]-1\080525-2-10.exe - Win32/Hider.I 特洛伊木马
E:\555\Kafan VirList[080525]-1\080525-1-0.exe - Win32/TrojanDropper.Agent.RYO 特洛伊木马
E:\555\Kafan VirList[080525]-1\080525-1-3.com - Win32/IRCBot.AGG 特洛伊木马
E:\555\Kafan VirList[080525]-1\080525-1-5.exe - Win32/TrojanDownloader.Zlob.BYX 特洛伊木马
E:\555\Kafan VirList[080525]-1\080525-2-4.dll - Win32/Adware.Virtumonde 应用程序
E:\555\Kafan VirList[080525]-1\080525-2-6.exe - Win32/Agent.NVK 特洛伊木马


高启发+启发:
扫描已成功完成
扫描在 8 秒 内完成。   
已扫描对象数:                               28
被感染对象数:                               4
已清除对象数:                               0
E:\555\Kafan VirList[080525]-1\080525-2-3.exe - 可能是 Win32/Small.NO 特洛伊木马 的变种
E:\555\Kafan VirList[080525]-1\080525-1-2.exe > RAR > reg.exe - Win32/PSW.OnLineGames.MUG 特洛伊木马 的变种
E:\555\Kafan VirList[080525]-1\080525-1-2.exe > RAR > 冒险开拓者第二版.exe > RAR > reg.exe - Win32/PSW.OnLineGames.
E:\555\Kafan VirList[080525]-1\080525-2-6.exe - Win32/TrojanDownloader.Small.OCT 特洛伊木马 的变种

[ 本帖最后由 diaojf 于 2008-6-6 23:00 编辑 ]
ssjj1910
头像被屏蔽
发表于 2008-6-6 22:39:49 | 显示全部楼层
一般的启发式是以"规则启发"来作为启发式判断的依据,而这种方法优点是规则设的好,很好抓威胁,但是随之而来的是误报(高低取决于规则优劣).

而之前曾和000110提起过,ESET ThreatSense技术事实上就是与威胁资料库合而为一的"动态启发".

这样的做法优点是:
1.高启发率.因为只要威胁特征码取的好,启发式的判定就会相当精准,误报率自然降低很多.

2.不用时常更新规则.透过每天的威胁资料库更新,启发式也跟着"更新",可以说是"活的启发式".

3.降低威胁特征码数量.看过卡饭每天的扫瞄测试,就会发现ESET靠启发式侦测数量很惊人,常常一占就是8,9成.像是报:"a variant of"这类的,是属于启发式没错,但是只要一个威胁特征码,"a variant of"能报的就很多,没有再入库的需要.

或许有人会问,难道ESET就只靠威胁资料库就能有71%启发率,0误报?这背后除了优秀的虚拟机外,当然也包括第一段所提的"规则启发".

像是:"probably a variant of","New_PE"这类的属于"规则启发",也就是最原始的启发式,这种的只要上报就会成为每天更新名单里的(X)之一.之后就变成了"a variant of".

当然,还是有缺点:
1.要有高品质的威胁特征码.因此ESET入库的时间非常缓慢,往往就是要好几个礼拜甚至几个月.但是随之而来的却是高侦测,低误报的"a variant of",省去很多入库的需要.

2.要有很多威胁特征码.这点就和第一点所提的一样,由于入库缓慢,ESET所能"动态启发"的数量就比较少,需要靠"规则启发"来支援.

在下敢说,ESET如果把所有"动态启发"都改成"威胁特征码",数量会和Kaspersky的威胁特征码差不多.但是ESET靠"动态启发",省去"很多"的威胁特征码.

目前市面上应该只有ESET有这样的构想,说它是"究极启发奥义",在下认为一点不超过.相信5月的测试出来,ESET又会再次提升启发率了.
The EQs
发表于 2008-6-6 22:41:06 | 显示全部楼层
此贴必成口水贴。。。。。。不发表任何看法先。。。。。
diaojf
发表于 2008-6-6 23:03:29 | 显示全部楼层
原帖由 EQ2 于 2008-6-6 22:41 发表
此贴必成口水贴。。。。。。不发表任何看法先。。。。。


我们都是瞎猜,大师做为ESET测试组成员,最有发言权,和大家说说吧。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 15:09 , Processed in 0.135556 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表