F-secure Deepguard 技术简要介绍——转译自官方白皮书——终于完结~

kakenhi

如果一个文件之前从未见过，而文中所述的运行前Behavioral analysis也没有得到任何结果，用屁股想也知道判断的结果是d，文件的状态仍然未知。所以说来说去，一个新病毒在运行前要突破的防线也就只有这个Behavioral analysis。

这种虚拟机很容易绕过，有不少API在这种虚拟机的调用返回与真实环境有差异，而且根据工作原理，病毒作者可以明显的预测到哪些API存在这种问题。如果用这些API的调用返回来解密恶意代码，在虚拟机中会解密失败，恶意动作不会执行，Behavioral analysis不会得到任何结果。

最后回到真正运行时的启发式分析。根据文中描述，DG的启发式分析应该对恶意程序的安装行为有较强的拦截能力。但如果恶意程序根本不安装，在远控时注意不用危险API，则DG无能为力。

所以说来说去，DG还是那套被杀软公司用烂了的老办法，没啥新意。

欧阳宣

kakenhi 发表于 2015-11-29 11:56
如果一个文件之前从未见过，而文中所述的运行前Behavioral analysis也没有得到任何结果，用屁股想也知道判 ...

如果判定的规则只根据API调用，那是这样啦，另外的判定规格你知道么

nick20010117

kakenhi 发表于 2015-11-29 11:56
如果一个文件之前从未见过，而文中所述的运行前Behavioral analysis也没有得到任何结果，用屁股想也知道判 ...

DG不光有运行前的分析，运行过程中还会注入dll检测可疑行为
所以你的说法是不完全的，fs是有行为拦截的，病毒还要突破行为分析

saya3014

不知道是不是个噱头。。。

欧阳宣

saya3014 发表于 2015-11-30 14:21
不知道是不是个噱头。。。

你真的觉得是？

bbszy

先能支持火狐谷歌的缓存监控再说

欧阳宣

bbszy 发表于 2015-12-2 12:30
先能支持火狐谷歌的缓存监控再说

这话说得，缓存怎么双击啊。

saya3014

欧阳宣 发表于 2015-12-2 09:59
你真的觉得是？

个人看法，不足之处望见谅。
我觉得在新的突破性技术到来之前（虽然现在还看不到方向）目前的杀软暂时还离不开传统的模式（特征码的对比），要么就是在更新病毒库的频率快点,要么就是加上一点所谓的微创新。
F-secure Deepguard 技术的5大技术
1： 浏览器保护
这个功能我觉得应该很多杀软都是具备的。例如之前用过的eset，我在上网的时候偶尔也弹出该网页不安全的提示。貌似我大天朝的360好像也有。
2：签名认证
这个功能我在毛豆上面看到过，无非就是查看程序的数字签名，貌似很多杀软也有的功能（要是遇到假冒的签名就挂了）。
3：文件信誉分析
这个功能我觉得就是类似白名单的存在。分析本地的文件名和MD5值之类的和云端的数据进行比较。没啥特别的，主要依赖云端的数据库。
4：行为分析
貌似这个一般带hips的杀软应该都有
5：exploit interrupt
这个功能我理解的是运行前的分析。估计是用虚拟机模拟程序运行的结果。然后判断是不是安全的。该功能不是很了解，不好做评论。
但是只有牵涉到虚拟机的模拟估计CPU就会狂飙了

所有个人觉得。。呵呵。。。。

欧阳宣

saya3014 发表于 2015-12-2 16:18
个人看法，不足之处望见谅。
我觉得在新的突破性技术到来之前（虽然现在还看不到方向）目前的杀 ...

上面五点都是很多杀软都具备的，如果是噱头，你是说很多杀软在做的事都是噱头么。

虚拟的环境不一定是硬盘，也可以是内存，你对eset懂得肯定比我多，eset有内存虚拟化技术的帖子

文件信誉很多时候会分析文件的来源，所在服务器和ip，不是所有信誉都是那么简单，因为为一个文件定性的特征也不止md5这一个。

抱歉这让人没法见谅，还是呵呵以对吧。

ekanshao

FS都删不掉
还是算了吧