再次看到有人纠结云鉴定 再次科普 官人自觉进

jefffire

zhq445078388 发表于 2011-8-14 21:22
看到360也终于出云鉴定器了
不知道流程。。能说明下吗

                                      →已知安全文件→显示结果
                                      →已知危险文件→显示结果
文件→查询云端黑白名单→                                
                                                                                                        →危险文件→显示结果
                                        →未知文件→QVM向量特征提取→QVM云鉴定
                                                                                                         →非危险文件→上传整个文件→


                              →危险文件→显示结果
其他云鉴定器鉴定
                              →非危险文件→转人工

jefffire

zhq445078388 发表于 2011-8-14 21:27
走下主防 不就行了

在云端 丢个成品虚拟机总简单吧。。

走完虚拟机呢？能够判白了么？也难说吧？

zhq445078388

jefffire 发表于 2011-8-14 21:33
走完虚拟机呢？能够判白了么？也难说吧？

虚拟机 最大的劣势是无法对触发型病毒起作用
但是 如果是vm那样的虚拟机 架设个主防框架 不就行了
然后模拟各种程序打开
尝试触发

jefffire

zhq445078388 发表于 2011-8-14 21:58
虚拟机 最大的劣势是无法对触发型病毒起作用
但是 如果是vm那样的虚拟机 架设个主防框架 不就行了
然后 ...

这样一个病毒需要多个虚拟机同时分析。有些病毒选择性很强，比如：在有360的机器上是这套行为，没有360的机器上是另外一套。
而且使用虚拟机，被anti的几率很大，检测环境比较容易。还有就是虚拟机分析占用资源很大，一个程序的分析需要5分钟甚至更久，样本全部走虚拟机，每天几百万的样本量，开销太大。

zhq445078388

jefffire 发表于 2011-8-15 12:04
这样一个病毒需要多个虚拟机同时分析。有些病毒选择性很强，比如：在有360的机器上是这套行为，没有360的 ...

行级代码启发去哪了。。
虚机可以参考微点

启发可以参考nod
这两个结合 其实 检出率非常高了

jefffire

zhq445078388 发表于 2011-8-15 12:35
行级代码启发去哪了。。
虚机可以参考微点

虚拟机脱壳，动态启发有人在搞，不知道上没上线

zhq445078388

jefffire 发表于 2011-8-15 12:39
虚拟机脱壳，动态启发有人在搞，不知道上没上线

虚机 云上面不需要弄脱壳
类似微点的动起来查api就够了

另外 帮我顶帖去~  小f？~
http://bbs.kafan.cn/thread-1043082-1-1.html

zyh050203

进来学习了，谢谢

zhq445078388

zdolo 发表于 2011-8-5 15:29
但是他说的可能是把文件分块，分块重组，p2p,然后利用免杀文件变化小的特点，可以很快重组文件的，这个方 ...

随手写了个“基础反病毒”引擎
就在我主贴 添加了一个切割字符串用于对抗特征免杀 对抗花指令的功能 （模糊匹配嘛）

zdolo

zhq445078388 发表于 2011-9-18 11:37
随手写了个“基础反病毒”引擎
就在我主贴 添加了一个切割字符串用于对抗特征免杀 对抗花指令的功 ...

明天看看，呵呵