楼主: 欧阳宣
收起左侧

[原创] F-secure Deepguard 技术简要介绍——转译自官方白皮书——终于完结~

  [复制链接]
欧阳宣
头像被屏蔽
 楼主| 发表于 2015-12-9 05:38:36 | 显示全部楼层
那么终于把第三页更新完了。
kakenhi
发表于 2015-12-12 01:44:32 | 显示全部楼层
欧阳宣 发表于 2015-11-29 13:04
如果判定的规则只根据API调用,那是这样啦,另外的判定规格你知道么

没懂你的意思。什么判定规则?
不需要弄明白判断规则,只需要让我们的程序在Behavioral analysis中不表现出恶意行为就可以了啊。
欧阳宣
头像被屏蔽
 楼主| 发表于 2015-12-12 03:53:31 | 显示全部楼层
kakenhi 发表于 2015-12-12 01:44
没懂你的意思。什么判定规则?
不需要弄明白判断规则,只需要让我们的程序在Behavioral analysis中不表 ...

你不是提到

在远控时注意不用危险API


就可以避免么,那如果按你,正常程序也会调用这类api,然后dg直接锁死电脑,是这意思吧。
nick20010117
发表于 2015-12-12 08:39:07 | 显示全部楼层
kakenhi 发表于 2015-12-12 01:44
没懂你的意思。什么判定规则?
不需要弄明白判断规则,只需要让我们的程序在Behavioral analysis中不表 ...

难道DG在运行过程中不进行分析吗
真是搞笑@欧阳宣
kakenhi
发表于 2015-12-12 15:38:01 | 显示全部楼层

哦,我是说的文章花大篇幅介绍的Behavioral analysis,也就是运行前虚拟机,很容易绕过。
关于主防方面,文章介绍得不多。我也没测过FS,不过按经验来说,拦截的一般是安装操作,就是创建服务,写启动项,注入进程内存,开启远程线程之类的。这些确实不太容易绕过,但木马的常用功能,像shell、文件传输、Session切换等是用不到这些API的。
欧阳宣
头像被屏蔽
 楼主| 发表于 2015-12-12 18:10:31 | 显示全部楼层
kakenhi 发表于 2015-12-12 15:38
哦,我是说的文章花大篇幅介绍的Behavioral analysis,也就是运行前虚拟机,很容易绕过。
关于主防方面 ...

但是程序运行中也有持续的行为监控啊
kakenhi
发表于 2015-12-12 21:24:55 | 显示全部楼层
本帖最后由 kakenhi 于 2015-12-12 21:36 编辑
欧阳宣 发表于 2015-12-12 18:10
但是程序运行中也有持续的行为监控啊


并没有测试过FS的主防。但就我测试过的其他杀软的主防而言,只要避免进行敏感操作,不管程序运行多久,都是不会报警的。
所谓的敏感操作,一般是我上面提到的那些。不过,即使进行敏感操作,就我知道的方法来讲一般也是可以绕过的。具体不详述。
欧阳宣
头像被屏蔽
 楼主| 发表于 2015-12-13 03:03:03 | 显示全部楼层
kakenhi 发表于 2015-12-12 21:24
并没有测试过FS的主防。但就我测试过的其他杀软的主防而言,只要避免进行敏感操作,不管程序运行多久, ...

所以相当于你是在没有测试过的情况下乱猜的么。

具体不详述,是述不出来吧。
hansyu
发表于 2015-12-13 13:45:01 | 显示全部楼层
翻译辛苦了,但是我想说能不能不用这么多“被”字……
很多地方可以改成主动语态更符合中文表达方式……
欧阳宣
头像被屏蔽
 楼主| 发表于 2015-12-13 15:05:17 | 显示全部楼层
hansyu 发表于 2015-12-13 13:45
翻译辛苦了,但是我想说能不能不用这么多“被”字……
很多地方可以改成主动语态更符合中文表达方式……

写久了脑子也傻了- -

评分

参与人数 1人气 +1 收起 理由
nick20010117 + 1 辛苦了,上面那个人实在太讨厌,在哪里瞎说

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:05 , Processed in 0.104665 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表