再次看到有人纠结云鉴定 再次科普 官人自觉进

zhq445078388

首先我们可以知道
对于云来说
整文件上传是个不太可能的事情
那么 如果取到足够完整的样本是个重中之重


首先是第一种方法
也就是常规的 本地多点特征上传
我写的 zmpi引擎 号称自学习 其实还是取多点特征+偏移量的学习（目前我发在卡饭的只取4点 比金山 360的差海了 所以不要对比 会让我一头撞死的）
针对一种黑文件 巨量学习 基本可以达到完全拦截这种木马/病毒
但是误报也会急剧增加（根据提供的样本）
所以我在引擎中的学习只学没有记录的部分
尽可能减少了误报
但是还是那句话 单单一个小小的引擎 不可能达到金山/360那样的程度
这时候 要考虑的事情就来了

拿下载者做例子
URLDownloadToFile 下载
WinExec  运行
或者
InternetConnect 创建网络连接
InternetReadFile 网络读文件
这是下载者最常见 甚至必不可少的两种代码
但是 我们去看看
迅雷 qq旋风 甚至ie的另存为 难道用不到这两种api组吗？
这时候 我们要去检查%url%字段 但是 迅雷对黑url进行下载并运行也能将迅雷判黑吗？
显然不可能

那么 要做到精确判断下载者 我们需要至少三个引擎
第一个 利用查api定位这两个函数是否存在的杀毒引擎
第二个 利用爬虫或mi-guan得到的黑url比对引擎
第三个 通过广谱或数字签名或数字签名+广谱
或者md5+数字签名的方式去除误报的厂商信息收集引擎
至少需要这三种引擎才能做到精确 但是误报少的这对下载者的判断流程
我们回过头来看 除了第一个是启发式 引擎（可能在本地）
其他两个都是基于云安全才能实现的引擎（可能本地将需要的信息提取上传）
------------------------------------------------------------------------------
这 虽然只是说一种下载者 但这就表现出了云安全存在的意义
-----------------------------------------------------------------------------------------------------------------------------------------------------------
ps:所谓无库高度启发虽然好 但是 我以前也尝试写过高启发
因为极大量的误报 只好抛弃不写了（干净的系统扫描 出现了不下20个误报文件，也把ie的动态库报过）
---------------------
然后是来分析云端多引擎工作方法
一种是通过多点md5  然后云端通过p2p等手段收集不同md5对应的代码
本地上传多个md5后 在云端对文件重组
重组后使用大量引擎进行多线程或队列型扫描
.............................................
一种是特定字符偏移特征
通过某种引擎对云端的海量文件进行统计型学习后
得到某些特殊逻辑
然后将这些逻辑以算法形式记录到库
然后本地在对文件扫描时 提取学习使用的某些特定字符加上偏移的字符进行上传
云端就从该特征点对应的库进行反向查找（在库里找原始特征串）
没有找到那么就抛弃
然后其他引擎也是这样 当找到特征串的引擎超过某一个数值
那么开始传到去误报引擎
去误报引擎去除误报后 得到的就是最终结果
找到 那么判黑
..............................................
从这里看 第二种明显比第一种更快
但是第一种明显更精确
只是 第二种 明显需要本地的脱壳机制
第一种则不需要
通过云端抓的代码进行重塑 进行扫描 速度可能很慢 但是对本地的负担大大减轻
-----------------------
这时候 这种判断模式也就无法被放在本地
因为本地存储那么多的样本是不可能的

以上是我的想法
官人纠错

771694443

我看看。不太懂

flyinbed

看不懂，如果楼主真有能力，安全软件公司不用你真是失败

yyyyhh123

楼主去应聘吧，呵呵

zouguan508

又看到皓皓了，皓皓最近在卡饭很活跃啊

zhq445078388

zouguan508 发表于 2011-8-4 22:04
又看到皓皓了，皓皓最近在卡饭很活跃啊

最近我很无聊

seehere

很好，有想法。楼主如果加入安软，加以时日的锻炼应该前途不小。

sfsren

lz貌似很厉害啊

yege0201

杀软公司不用LZ真是屈才啊~

zouguan508

seehere 发表于 2011-8-4 22:09
很好，有想法。楼主如果加入安软，加以时日的锻炼应该前途不小。

编辑了，以免误导