楼主: 欧阳宣
收起左侧

[原创] F-secure Deepguard 技术简要介绍——转译自官方白皮书——终于完结~

  [复制链接]
kakenhi
发表于 2015-11-29 11:56:28 | 显示全部楼层
如果一个文件之前从未见过,而文中所述的运行前Behavioral analysis也没有得到任何结果,用屁股想也知道判断的结果是d,文件的状态仍然未知。所以说来说去,一个新病毒在运行前要突破的防线也就只有这个Behavioral analysis。

这种虚拟机很容易绕过,有不少API在这种虚拟机的调用返回与真实环境有差异,而且根据工作原理,病毒作者可以明显的预测到哪些API存在这种问题。如果用这些API的调用返回来解密恶意代码,在虚拟机中会解密失败,恶意动作不会执行,Behavioral analysis不会得到任何结果。

最后回到真正运行时的启发式分析。根据文中描述,DG的启发式分析应该对恶意程序的安装行为有较强的拦截能力。但如果恶意程序根本不安装,在远控时注意不用危险API,则DG无能为力。

所以说来说去,DG还是那套被杀软公司用烂了的老办法,没啥新意。
欧阳宣
头像被屏蔽
 楼主| 发表于 2015-11-29 13:04:10 | 显示全部楼层
kakenhi 发表于 2015-11-29 11:56
如果一个文件之前从未见过,而文中所述的运行前Behavioral analysis也没有得到任何结果,用屁股想也知道判 ...

如果判定的规则只根据API调用,那是这样啦,另外的判定规格你知道么
nick20010117
发表于 2015-11-29 21:08:48 | 显示全部楼层
本帖最后由 nick20010117 于 2015-11-29 21:10 编辑
kakenhi 发表于 2015-11-29 11:56
如果一个文件之前从未见过,而文中所述的运行前Behavioral analysis也没有得到任何结果,用屁股想也知道判 ...


DG不光有运行前的分析,运行过程中还会注入dll检测可疑行为
所以你的说法是不完全的,fs是有行为拦截的,病毒还要突破行为分析
saya3014
发表于 2015-11-30 14:21:32 | 显示全部楼层
不知道是不是个噱头。。。
欧阳宣
头像被屏蔽
 楼主| 发表于 2015-12-2 09:59:48 | 显示全部楼层
saya3014 发表于 2015-11-30 14:21
不知道是不是个噱头。。。

你真的觉得是?
bbszy
发表于 2015-12-2 12:30:29 | 显示全部楼层
先能支持火狐谷歌的缓存监控再说
欧阳宣
头像被屏蔽
 楼主| 发表于 2015-12-2 13:01:57 | 显示全部楼层
bbszy 发表于 2015-12-2 12:30
先能支持火狐谷歌的缓存监控再说

这话说得,缓存怎么双击啊。
saya3014
发表于 2015-12-2 16:18:02 | 显示全部楼层

个人看法,不足之处望见谅。
我觉得在新的突破性技术到来之前(虽然现在还看不到方向)目前的杀软暂时还离不开传统的模式(特征码的对比),要么就是在更新病毒库的频率快点,要么就是加上一点所谓的微创新。
F-secure Deepguard 技术的5大技术
1: 浏览器保护
这个功能我觉得应该很多杀软都是具备的。例如之前用过的eset,我在上网的时候偶尔也弹出该网页不安全的提示。貌似我大天朝的360好像也有。
2:签名认证
这个功能我在毛豆上面看到过,无非就是查看程序的数字签名,貌似很多杀软也有的功能(要是遇到假冒的签名就挂了)。
3:文件信誉分析
这个功能我觉得就是类似白名单的存在。分析本地的文件名和MD5值之类的和云端的数据进行比较。没啥特别的,主要依赖云端的数据库。
4:行为分析
貌似这个一般带hips的杀软应该都有
5:exploit interrupt
这个功能我理解的是运行前的分析。估计是用虚拟机模拟程序运行的结果。然后判断是不是安全的。该功能不是很了解,不好做评论。
但是只有牵涉到虚拟机的模拟估计CPU就会狂飙了

所有个人觉得。。呵呵。。。。


欧阳宣
头像被屏蔽
 楼主| 发表于 2015-12-2 16:31:12 | 显示全部楼层
saya3014 发表于 2015-12-2 16:18
个人看法,不足之处望见谅。
我觉得在新的突破性技术到来之前(虽然现在还看不到方向)目前的杀 ...

上面五点都是很多杀软都具备的,如果是噱头,你是说很多杀软在做的事都是噱头么。

虚拟的环境不一定是硬盘,也可以是内存,你对eset懂得肯定比我多,eset有内存虚拟化技术的帖子

文件信誉很多时候会分析文件的来源,所在服务器和ip,不是所有信誉都是那么简单,因为为一个文件定性的特征也不止md5这一个。

抱歉这让人没法见谅,还是呵呵以对吧。
ekanshao
发表于 2015-12-3 12:12:19 | 显示全部楼层
FS都删不掉
还是算了吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 08:10 , Processed in 0.091918 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表