【2011年12月20日】动态编译 加快速度 ZMPI自学习反病毒 高级启发式 钓鱼启发式

zhq445078388

jefffire 发表于 2011-8-7 09:14
用了一下。用卡饭4，5日的包学习，然后查6号的包，查出来4个。还算不错
不过，程序学习的都是黑文件， ...

这个东西 其实
我这么说把
一个人学习了2000+样本
把卡饭的包清空了。
然后去扫c盘
把迅雷清空了

jefffire

zhq445078388 发表于 2011-8-7 10:19
这个东西 其实
我这么说把
一个人学习了2000+样本

有点猛

zhq445078388

jefffire 发表于 2011-8-7 09:14
用了一下。用卡饭4，5日的包学习，然后查6号的包，查出来4个。还算不错
不过，程序学习的都是黑文件， ...

这东西不在于扫描扩展性  毕竟不是启发型
如果4.5号的包学了能扫6号的
说明卡饭的样本基本是类似的免杀模式啊

他在于一个样本学习后 即使是利用自增自减算法加体积 只要破坏的点不超过3个 仍然能识别
另外。。。没脱壳能力
我写了的。。

jefffire

zhq445078388 发表于 2011-8-7 10:22
这东西不在于扫描扩展性  毕竟不是启发型
如果4.5号的包学了能扫6号的
说明卡饭的样本基本是类似的免杀 ...

我知道，你这个基本属于提取微特征

zhq445078388

jefffire 发表于 2011-8-7 10:20
有点猛

就算现在7库模式 每3600还是会出现重叠的
所以学多了还是容易大量误报
所以正在想办法扩展到12点
但是取点要灰常灰常谨慎

zhq445078388

jefffire 发表于 2011-8-7 10:23
我知道，你这个基本属于提取微特征

微特征是长特征换hash
这个是多点完整特征
我管他叫点特征。。

7点的精确度是81%
5点判毒模式带给了他接近20%的扩展性
所以 如果只学一种黑文件 可能能当专杀用了

yjwfdc

学习了卡饭6月包1000多个病毒,扫win7 system32文件夹,误报两个,一个是有微软件签名的,一个是爱普生签名.

再扫20110805包30个病毒,扫出了12个,

效果很好.

jefffire

zhq445078388 发表于 2011-8-7 10:27
微特征是长特征换hash
这个是多点完整特征
我管他叫点特征。。

是完整特征啊，那就感觉像是自动提取特征码一样了。不过这样势必误报难于控制

zhq445078388

jefffire 发表于 2011-8-7 10:29
是完整特征啊，那就感觉像是自动提取特征码一样了。不过这样势必误报难于控制

自动提特征有一个技术难点 金山也卡在这里了
就是怎么寻找需要的特征点

金山的微特征还是处于从第多少多少位取到多少多少位

加个1就免杀的地步的

zhq445078388

yjwfdc 发表于 2011-8-7 10:28
学习了卡饭6月包1000多个病毒,扫win7 system32文件夹,误报两个,一个是有微软件签名的,一个是爱普生签名.

...

这东西的延展性是看学习的黑文件和扫描的黑文件能不能有关联性