Z龙重新解读MSE 2.0的 Dynamic Translation (DT)技术【拒绝口水，Z龙不会再回复本帖】

显示全部楼层 · 发表于 2011-9-9 19:29:33

本帖最后由 zdshsls 于 2011-9-13 13:00 编辑

关于Z龙之前在这个http://bbs.kafan.cn/thread-1061093-1-1.html帖子内，对Dynamic Translation (DT)技术的描述，确实是有一点夸大（这Z龙有意为之，是Z龙第一次夸大MSE功能，也是最后一次，原因是因为Z龙卸任MSE版区版主，为了版区的人气，Z龙才这么做，Z龙绝无恶意），但是含义并没有错误，或许是因为Z龙的描述方法有问题，所以有人认为Z龙说的不对，所以Z龙现在出来重新解释一下这个问题。

首先Z龙在之前的帖子里这样描述Dynamic Translation (DT)技术

在我们访问或运行一个可能是恶意软件的程序时，MSE会在程序启动时利用Dynamic Translation (DT)技术，将程序虚拟化，将可能是恶意软件的程序代码转换，让我们访问程序中的安全代码。

虽然在描述DT技术的时候，已经提到是把可能的恶意软件虚拟化成为可以访问的安全代码，由于“转换”一词，所以容易让人认为，DT是真正的把可能的恶意软件转换成安全代码，这就让人误解的地方。

现在Z龙重新描述Dynamic Translation (DT)技术
当访问一个可能是恶意软件的程序时，Dynamic Translation (DT)技术可以把这个出现进行虚拟化处理，把程序内的二进制恶意代码虚拟化掉（不是真的把恶意代码删除），将一个可能的恶意软件虚拟化成为一个可以被访问的虚拟化程序。
注意：这个虽然跟沙箱类似，但是却并不是沙箱，因为沙箱只是把恶意软件放在虚拟空间访问恶意软件，然后进行倒沙（清空虚拟空间），并不能像MSE的Dynamic Translation (DT)技术把恶意软件虚拟化成虚拟的安全程序访问。

这是Microsoft官方对Dynamic Translation (DT)技术的描述

Dynamic Translation - Translates code that accesses real resources (unsafe) into code that accesses virtualized resources (safe). Although this functionality is also in FCS, it's a great technology included in FEP 2010 some people still don't know about.

Z龙提供一个机器翻译

动态转换 - 转译代码访问到真实资源（不安全），代码访问虚拟资源（安全）。虽然这种功能也是它在FCS，包括在FEP 2010是一个伟大的技术，有些人仍然不知道。

另外，值得注意的是动态转换（DT）技术是与动态签名服务（DSS）、实时系统行为监控（LSBM）、网络检查系统（NIS）一样，是MSE 2.0的四大技术之一，是抵御未知病毒的利器

（图里的启发式技术在FCS里已经有了，所以Z龙不提它）

现在大家可以了解Dynamic Translation (DT)技术的作用了，Z龙可以安心的离开。

显示全部楼层 · 发表于 2011-9-13 12:53:48

好了，现在Z龙已经把动态转换（DT）技术说清楚了，Z龙继续潜水去，关于DT的问题，Z龙再不会过问，除非MSE 3.0增强DT技术。呵呵。

Z龙以后有空还会回来看望大家的，而且不会空手而来，哈哈，潜水，闪人

显示全部楼层 · 发表于 2011-9-13 13:15:50

Z大别走啊，我还好多问题的

显示全部楼层 · 发表于 2011-9-13 13:44:29

按照原文的意思, 这应该是直接将有风险的可执行程序完整地虚拟化执行, 以此达到安全的效果, 而不是仅仅是只虚拟化程序的有害部分? 仅讨论版主莫见怪哈...

显示全部楼层 · 发表于 2011-9-13 23:31:47

刚换上mse 你就走了汗

显示全部楼层 · 发表于 2011-9-14 12:11:48

刚来mse区。谢谢z龙普及知识

显示全部楼层 · 发表于 2011-9-14 12:54:56

不想多说什么了。你走进了思想的死胡同。

还是那句话，将程序虚拟化，目的是为了让MSE能更深入分析代码，而不是转换为安全代码让用户访问。过程没错，但你所谓DT的目的错了。

显示全部楼层 · 发表于 2011-9-14 19:57:40

本帖最后由帅就是帅于 2011-9-14 20:16 编辑

作为老版主，我不想倚老卖老，就事论事说，其实楼主对Dynamic Translation还是理解有问题，概念包装了下，但英文原文也搁在那，说得很玄乎，换成中国话就是“动态启发”而已（也外加跑修复，比如随便拿个nimda的js就看到了）。。。比如说对加壳样本可以不必在引擎加入各种算法直接dump内存镜像重构标准pe然后在包含虚拟cpu、驱动还有其他硬件的环境里“动态运行”来侦测。。。。。

据说微软有使用百锐的技术，只是据说。。。这玩意有保密协议的

不仅如此，楼主在引用的那个帖子里，仅仅因为排除火狐进程就定论MSE的监控不是基于硬盘读写而是进程的说法也是有错的

排除进程后，该进程的所有操作包括读写硬盘内存神马的都排除了，其实并不是楼主的结论。。。。

所以，以前所谓的卡exe解决方案和把MSE当扫描器没啥区别。。。。

杀软是个伟大的发明，尤其是其监控，远远比扫描检测率要伟大很多倍。。。。唉。。。。只是不希望其他会员被误导了。。。。。坦白说，本区的误导有很多，也包括我曾经的东西，呵呵

越学习越发现自己的渺小和无力。。。

显示全部楼层 · 发表于 2011-9-14 22:40:34

本帖最后由 jefffire 于 2011-9-14 22:45 编辑

帅就是帅发表于 2011-9-14 19:57
作为老版主，我不想倚老卖老，就事论事说，其实楼主对Dynamic Translation还是理解有问题，概念包装了下，但 ...

本地引擎不管用什么方法脱壳，都是走进了死胡同。实际上，采用加壳手段的样本不到1%。喜欢用壳的往往都是一些小软件，目的是为了保护版权。

显示全部楼层 · 发表于 2011-9-14 22:45:35

jefffire 发表于 2011-9-14 22:40
本地引擎不管用什么方法脱壳，都是走进了死胡同。实际上，采用加壳手段的样本不到1%。喜欢用壳的往往都 ...

那么，蜘蛛不是很尴尬

[其他事项] Z龙重新解读MSE 2.0的 Dynamic Translation (DT)技术【拒绝口水，Z龙不会再回复本帖】

本帖子中包含更多资源

评分

评分

评分

评分