F-secure Deepguard 技术简要介绍——转译自官方白皮书——终于完结~

欧阳宣

那么终于把第三页更新完了。

kakenhi

欧阳宣 发表于 2015-11-29 13:04
如果判定的规则只根据API调用，那是这样啦，另外的判定规格你知道么

没懂你的意思。什么判定规则？
不需要弄明白判断规则，只需要让我们的程序在Behavioral analysis中不表现出恶意行为就可以了啊。

欧阳宣

kakenhi 发表于 2015-12-12 01:44
没懂你的意思。什么判定规则？
不需要弄明白判断规则，只需要让我们的程序在Behavioral analysis中不表 ...

你不是提到

在远控时注意不用危险API

就可以避免么，那如果按你，正常程序也会调用这类api，然后dg直接锁死电脑，是这意思吧。

nick20010117

kakenhi 发表于 2015-12-12 01:44
没懂你的意思。什么判定规则？
不需要弄明白判断规则，只需要让我们的程序在Behavioral analysis中不表 ...

难道DG在运行过程中不进行分析吗
真是搞笑@欧阳宣

kakenhi

欧阳宣 发表于 2015-12-12 03:53
你不是提到

哦，我是说的文章花大篇幅介绍的Behavioral analysis，也就是运行前虚拟机，很容易绕过。
关于主防方面，文章介绍得不多。我也没测过FS，不过按经验来说，拦截的一般是安装操作，就是创建服务，写启动项，注入进程内存，开启远程线程之类的。这些确实不太容易绕过，但木马的常用功能，像shell、文件传输、Session切换等是用不到这些API的。

欧阳宣

kakenhi 发表于 2015-12-12 15:38
哦，我是说的文章花大篇幅介绍的Behavioral analysis，也就是运行前虚拟机，很容易绕过。
关于主防方面 ...

但是程序运行中也有持续的行为监控啊

kakenhi

欧阳宣 发表于 2015-12-12 18:10
但是程序运行中也有持续的行为监控啊

并没有测试过FS的主防。但就我测试过的其他杀软的主防而言，只要避免进行敏感操作，不管程序运行多久，都是不会报警的。
所谓的敏感操作，一般是我上面提到的那些。不过，即使进行敏感操作，就我知道的方法来讲一般也是可以绕过的。具体不详述。

欧阳宣

kakenhi 发表于 2015-12-12 21:24
并没有测试过FS的主防。但就我测试过的其他杀软的主防而言，只要避免进行敏感操作，不管程序运行多久， ...

所以相当于你是在没有测试过的情况下乱猜的么。

具体不详述，是述不出来吧。

hansyu

翻译辛苦了，但是我想说能不能不用这么多“被”字……
很多地方可以改成主动语态更符合中文表达方式……

欧阳宣

hansyu 发表于 2015-12-13 13:45
翻译辛苦了，但是我想说能不能不用这么多“被”字……
很多地方可以改成主动语态更符合中文表达方式……

写久了脑子也傻了- -