【2011年12月20日】动态编译加快速度 ZMPI自学习反病毒高级启发式钓鱼启发式

显示全部楼层 · 发表于 2011-8-6 23:19:25

zhangjianqwe 发表于 2011-8-6 23:15
那应该考虑一下灰色样本了？应该还考虑一下程序本身是坏的不能运行的？也可以学？？？

这就是前置引擎的事情了
比如传参前判断文件是不是能运行
不能运行就别传参了

显示全部楼层 · 发表于 2011-8-6 23:23:33

呵呵，不错的主意。谢谢

显示全部楼层 · 发表于 2011-8-6 23:25:36

zhq445078388 发表于 2011-8-6 23:11
这个是调用程序传参的东西引擎不认的
你调用说可以学什么
引擎就学什么

试过了，rar可以学，也可以查。

显示全部楼层 · 发表于 2011-8-6 23:26:34

yjwfdc 发表于 2011-8-6 23:25
试过了，rar可以学，也可以查。

理论上讲
只要能够找到zmpi锁定需要的7个点就能查
哪怕是一个诡异到没变的程序。。

显示全部楼层 · 发表于 2011-8-6 23:28:18

zhq445078388 发表于 2011-8-6 23:26
理论上讲
只要能够找到zmpi锁定需要的7个点就能查
哪怕是一个诡异到没变的程序。。

批量学习没有搜索下级目录，加入比较好。

显示全部楼层 · 发表于 2011-8-6 23:28:21

zhq445078388 发表于 2011-8-6 23:19
这就是前置引擎的事情了
比如传参前判断文件是不是能运行
不能运行就别传参了

不过我觉得光一个引擎没有用哦。。我更喜欢游戏编写算法。统计。概率，用已经知道的特征。来判断新文件是否存在的弱特征

或者说还学要判断黑灰白。。。有点吃力

显示全部楼层 · 发表于 2011-8-6 23:30:21

zhangjianqwe 发表于 2011-8-6 23:28
不过我觉得光一个引擎没有用哦。。我更喜欢游戏编写算法。统计。概率，用已经知道的特征。来判断新文件是 ...

已经是7点12字节特征偏移了
符合5特征就报毒名了
还不算弱特征精确匹配吗。。

显示全部楼层 · 发表于 2011-8-6 23:30:42

yjwfdc 发表于 2011-8-6 23:28
批量学习没有搜索下级目录，加入比较好。

源码里面有只是我给屏蔽了
防止误操作

显示全部楼层 · 发表于 2011-8-6 23:33:49

zhq445078388 发表于 2011-8-6 23:30
已经是7点12字节特征偏移了
符合5特征就报毒名了
还不算弱特征精确匹配吗。。

不知道4字节行哇。我不爬楼了到4字节感觉就非常危险了

显示全部楼层 · 发表于 2011-8-6 23:34:15

zhq445078388 发表于 2011-8-6 23:30
源码里面有只是我给屏蔽了
防止误操作

加上批量学习目录吧，我也发现这个问题，这样就可以用来保护系统和程序了。

[技术原创] 【2011年12月20日】动态编译加快速度 ZMPI自学习反病毒高级启发式钓鱼启发式