有关SAPE的一些发现和猜测

显示全部楼层 · 发表于 2014-12-1 18:29:01

本帖最后由欧阳宣于 2014-12-1 18:30 编辑

去铁壳的官网搜了下有关SAPE的东西，没搜到很有用的什么，只把找到的发出来。

1.SAPE确实是有分类的明确的启发式定义。http://www.symantec.com/security_response/writeup.jsp?docid=2014-071715-1315-99

W32.SAPE.Downware.1 is a heuristic detection designed to generically detect malicious files.

2.SAPE的分类似乎仅有两种。SAPE.xxxx.yy和W32.SAPE.xxxx.yy

①直接以SAPE开头的定义是相对特定的，似乎由大量入库凑成，但还是经过了分类。因为在
http://www.symantec.com/security_response/landing/azlisting.jsp?azid=S
这里，看到SAPE 开头的定义有好大一串，包含各种相对具体的分类，每个分类还有很多亚种。

SAPE.Fearso.1
SAPE.Fearso.2
SAPE.Fearso.4
SAPE.Fearso.6
SAPE.Fednu.1
SAPE.FenomenGame.1
SAPE.FenomenGame.2
SAPE.FenomenGame.3
SAPE.Fesber.28
SAPE.Fesber.2b
SAPE.Fesber.2f
SAPE.Fesber.33
SAPE.Fesber.a
SAPE.Fesber.c
SAPE.Fesber.d
SAPE.Fesber.f
SAPE.FileTour.2
SAPE.Firseria.11
SAPE.Firseria.12
SAPE.Firseria.13
SAPE.Firseria.14
SAPE.Firseria.15
SAPE.Firseria.154
SAPE.Firseria.155
SAPE.Firseria.156
SAPE.Firseria.157

………………

此外SAPE包含的威胁种类也多种多样。有流氓软件（SAPE.AirAdInstllr.2c），木马（SAPE.Rogue.1），rootkit（SAPE.Rootkit.18），感染性病毒（SAPE.Ramnit.4b4）等等很多种。

这种命名的感觉让人想起BD这类暴力入库并且很少分类精简的杀软的trojan.genetic大法。诺顿虽然也有类似的trojan.gen大法，但是相对来说SAPE好些了，至少能看出来恶意样本的类别是什么。但命名的规则大多还是粗浅地按名称而非样本性质来命名。比如

SAPE.AirAdInstllr.2c
SAPE.Shutdowner.1
SAPE.ShouQu.18

等等。

不过还是有比较通用的命名，不过后面给出的亚种也很多，比如SAPE.downloader.xxx就有517个分类，SAPE.heur.xxxx更是有一万多条，简直就是新版trojan.gen大法。

②但是到了W32.SAPE开头的定义，总数目就变得非常的精简了，总的类别只有99种。http://www.symantec.com/security_response/landing/azlisting.jsp?azid=W

并且从命名可以看出W32.SAPE类的定义是十分精炼通用的定义。五百多条的downloader类被提炼成两条，Heur分类一万五千条被提炼成23条，并且还添加了带有cloud字眼的类似于suspicious.cloud.9的定义。

所以根据已有的了解，再经过一定程度的脑补以后，做出如下猜测。

1.SAPE将成为新一代的通用启发定义，恶意样本在被分析之后将经过归类和提取特征，对应的定义名也将发生变化（SAPE.xxxx.yy→SAPE.heur/downloader/其他通用威胁名.xxxx.yyy→W32.SAPE.xxx.y）。

2.没有经过最后固化的定义由于分类太过庞杂，可能是全部放在云端的，但从W32.SAPE的命名区分来看，最后固化的SAPE类定义有一部分会放到本地，可能是比如W32.SAPE.Heur.1这类，还有一部分会以与云端联动的方式体现，比如W32.SAPE.Cloud9.1这类。

可以看出诺顿在做的事和BD以及BD系杀软在特征库上所做的事（精简的流程为trojan.genetic.xxxxxxxx→trojan.geneticKD/KDV.xxxxxx→Gen:trojan.xxxxx.yyy→heur@xxxxxxxx:yyyy）一模一样。不过诺顿由于相比BD系在和云的联动上更加频繁，无疑在响应速度上是有优势的。

仅作参考。

转载请署名卡饭原址。

显示全部楼层 · 发表于 2014-12-1 18:35:36

本帖最后由驭龙于 2014-12-1 19:54 编辑

W32.SAPE很早以前就有了，以后应该不会再添加新类型，实际上现在的SAPE不单单有启发类的SAPE.Heur类，还有其他各种SAPE，也就是全新分类，坐等好戏

显示全部楼层 · 发表于 2014-12-1 19:38:08

驭龙发表于 2014-12-1 18:35
W32.SAPE很早以前就有了，以后应该不会再添加新类型，实际上现在的SAPE不单单有启发类的SAPA.Heur类，还有 ...

有些定义是2013年就加了，这盘棋布局很早啊

显示全部楼层 · 发表于 2014-12-1 19:53:59

欧阳宣发表于 2014-12-1 19:38
有些定义是2013年就加了，这盘棋布局很早啊

我真的希望SAPE能更强大，等待吧

显示全部楼层 · 发表于 2014-12-1 19:54:24

驭龙发表于 2014-12-1 18:35
W32.SAPE很早以前就有了，以后应该不会再添加新类型，实际上现在的SAPE不单单有启发类的SAPA.Heur类，还有 ...

我想问下，诺顿对于天朝的特色病毒效果如何?比如那个白加黑什么的？

显示全部楼层 · 发表于 2014-12-1 19:55:38

wudiwusuowei 发表于 2014-12-1 19:54
我想问下，诺顿对于天朝的特色病毒效果如何?比如那个白加黑什么的？

不确定，目前的情况无法确定，不过我觉得希望不大

显示全部楼层 · 发表于 2014-12-1 19:57:47

好喜欢这种折腾精神

显示全部楼层 · 发表于 2014-12-1 22:41:40

诺顿越来越牛逼了。估计以后杀软诺顿说第二没人敢说第一了

显示全部楼层 · 发表于 2014-12-1 22:57:57

每顿需吃三大碗发表于 2014-12-1 22:41
诺顿越来越牛逼了。估计以后杀软诺顿说第二没人敢说第一了

哪有，诺顿的缺点同样明显

显示全部楼层 · 发表于 2014-12-1 23:02:35

本帖最后由 wudiwusuowei 于 2014-12-1 23:09 编辑

欧阳宣发表于 2014-12-1 22:57
哪有，诺顿的缺点同样明显

诺顿有哪些缺点，能说下吗？话说诺顿NS22应该是重武器里最流畅的了，流畅度比一些轻武器都流畅，有过之而无不及。

[讨论] 有关SAPE的一些发现和猜测

本帖子中包含更多资源

评分