初次使用G DATA 2012，感觉还不错。

jefffire

bbs2811125 发表于 2011-9-9 23:26
看效果，引擎方面目前来说想要有很大的提升明显要难于行为防护的加入和完善
红伞现在的主防模块依 ...

这可不一定。看思路宽不宽了。

bbs2811125

jefffire 发表于 2011-9-9 23:27
这可不一定。看思路宽不宽了。

引擎方面明显已经进入瓶颈期，我还是和以往一样比较看好智能hips

jefffire

bbs2811125 发表于 2011-9-9 23:30
引擎方面明显已经进入瓶颈期，我还是和以往一样比较看好智能hips

非要局限在特征码，动静态启发，当然没前途。把查病毒看成一个分类工作，怎么从代码信息中挖掘到你想要的东西，这个数据挖掘过程很值得推敲，呵呵。

JusT.Like

jefffire 发表于 2011-9-9 23:19
6个SSDT hook，tcpip有几个hook、还有minifilter、还有本来就有的通知回调函数，太少了，替behave  block捏 ...

我的危机感一直很强烈  德国人的动作很慢

bbs2811125

JusT.Like 发表于 2011-9-9 23:39
我的危机感一直很强烈  德国人的动作很慢

这个从红伞的主防就可以看得出来了，弄了两个版本才真正起步

Qoome

bbs2811125 发表于 2011-9-9 23:30
引擎方面明显已经进入瓶颈期，我还是和以往一样比较看好智能hips

我在想FS+小A比起鸡蛋挞如何

JusT.Like

bbs2811125 发表于 2011-9-9 23:41
这个从红伞的主防就可以看得出来了，弄了两个版本才真正起步

GD相对于红伞，在某些方面的态度还是不一样的

但是，有些时候，期望越高，失望越大

总的来说，GD一直在进步

jefffire

JusT.Like 发表于 2011-9-9 23:39
我的危机感一直很强烈  德国人的动作很慢

确实太少了点。仅从监控点上来说，距离成熟的HIPS差的比较远

bbs2811125

jefffire 发表于 2011-9-9 23:38
非要局限在特征码，动静态启发，当然没前途。把查病毒看成一个分类工作，怎么从代码信息中挖掘到你想要的 ...

如果把查病毒看做分类，简单的就是病毒/非病毒
多细分就还有可疑文件，用分类的方法对不同的程序进行分析从而判定归属是个不错的方法，qvm用的应该就是这个思想。接触过一些化学计量学的知识，如果模型做得好的话准确率可以很高，但是对于支持向量机这样的方法目前还是探索多于应用，很多细节方面还不是很成熟。使用最多的依然还是经典的pls算法，所以如何不断优化判定的方法还是需要不断进行探索的，毕竟相对于经典的方法新方法往往不确定性比较大，在这个时候为了避免误杀只能通过把阈值控制的比较温和这样一来牺牲的自然就是检测率

JusT.Like

jefffire 发表于 2011-9-9 23:45
确实太少了点。仅从监控点上来说，距离成熟的HIPS差的比较远

让研发部狠狠的疼一下，才会有大的动作

某些样本我也提供过不少，可是，动作太慢了