从卡饭一个样本再谈火绒2.0单步和多步的不和谐

道长

samsul 发表于 2013-10-17 16:23
我始终坚守一点 有问题就必须弹窗 至于怎么处理是我的事 有的事你认为没什么的时候，恰恰是我认为不行的

那你去用HIPS吧  干嘛用火绒呢  

jpzy

jefffire 发表于 2013-10-18 10:23
你的想法又走进卡巴的误区里面。要确保回滚成功率又要搞沙盘，沙盘的环境限制是很大的，即便不考虑对抗 ...

所以我说想法不成熟啊。
事实上我认为系统防护没必要做的太复杂，对于某些高危行为也没必要直接敲死。
系统防护作为最后的屏障只要保证适当的安全性就够了。
剩下的交给行为分析和特征码解决

jpzy

jefffire 发表于 2013-10-18 10:23
你的想法又走进卡巴的误区里面。要确保回滚成功率又要搞沙盘，沙盘的环境限制是很大的，即便不考虑对抗 ...

另外，我不觉得我的思路是误区。卡巴多年不接触了，不知道具体技术。

系统加固完全可以不需要拦截整个样本的运行。只要对系统关键点做保护就行了。比如一个程序试图访问物理内存，防护工具可以阻止它这个行为，但不中止其继续工作。用HIPS的时候，对付QQ，迅雷都是这样的。把高危行为阻止，整个程序能够继续工作。

这样做有可能带来两个结果：
1，样本因为关键动作被阻止从而终止工作。这样的话，会有病毒尸体的问题，但是既然系统防护起作用了，系统本身是安全的。
2，样本继续进行后续动作。这样，虽然关键动作被阻止了，但是样本的运行没有被打断，继续运行就可以让行为分析继续起作用。

以上的结果，怎么看都比较安全，并且不存在你说的归一化的问题！

jefffire

jpzy 发表于 2013-10-18 19:02
另外，我不觉得我的思路是误区。卡巴多年不接触了，不知道具体技术。

系统加固完全可以不需要拦截整个 ...

行为的特征库不能光靠经验，需要整体算法建模，这样就涉及分析数据的归一性。有了单点拦截，在做行为特征库的时候就要考虑这个问题，拦截点一旦改变，整个特征库都要变，要重新跑一遍所有样本。现在对抗激烈，拦截点的增改那是常有的事

jpzy

jefffire 发表于 2013-10-18 20:03
行为的特征库不能光靠经验，需要整体算法建模，这样就涉及分析数据的归一性。有了单点拦截，在做行为特 ...

1，前面说了，拦截不等于阻止程序继续运行。玩过HIPS应该知道，有些行为阻止了，样本会继续向下运行。这样，被阻止的行为也可以继续计入样本总行为中，不影响样本行为的归一化。

2，如果样本因为某个行为被阻止从而出现运行异常，影响了行为分析，但是只要系统加固工作正常，系统就安全。

jefffire

jpzy 发表于 2013-10-18 20:16
1，前面说了，拦截不等于阻止程序继续运行。玩过HIPS应该知道，有些行为阻止了，样本会继续向下运行。这样 ...

什么行为阻止了不影响，什么行为会影响，都是要考虑的事
没说不安全，但是考虑到特征库维护，就不太可行了。

jone_jys

道长 发表于 2013-10-18 13:47
那你去用HIPS吧  干嘛用火绒呢

嗯，静默处理当然是好的，最好是连同尸体一起删掉。。。

在火绒1.0的时候，我一直建议监控和行为分析默认处理方式为“自动清除”，可能官方顾虑相对多点，这2个功能的默认处理方式都是“询问”。正式以后还是希望静默处理好，尽量减少用户的干预。。。

针对“询问”确实挺纠结的，相对小白讲：你整一个弹窗，实际是已经把杀软份内的事情交给用户了。遇到弹窗了小白如何取舍？如果按照默认清除，那么既然已经是病毒要清除的整一个弹窗干啥？ 如果小白自己选择了放过，真的是病毒的话岂不是很危险么？

道长

jone_jys 发表于 2013-10-18 21:08
嗯，静默处理当然是好的，最好是连同尸体一起删掉。。。

在火绒1.0的时候，我一直建议监控和行为分析默 ...

所以说增加一个设置选项最好  

jpzy

jefffire 发表于 2013-10-18 20:29
什么行为阻止了不影响，什么行为会影响，都是要考虑的事
没说不安全，但是考虑到特征库维护，就不太可行 ...

呵呵，可以参考一些HIPS的规则啊。原来坛子里不是有很多各种手动规则么？系统防护作为最后一道屏障，没必要过于严格的，只要保护好关键点就行了。

zhangchi100

嗯，技术贴简单易懂。