hips主动防御谁家强有图有真相并不是拦截这么简单！

显示全部楼层 · 发表于 2016-3-20 11:50:52

本帖最后由 tgzw1680 于 2016-3-21 04:28 编辑

为了怀念火绒装了虚拟机，不能浪费了，让我们揭开hips主动防御的面纱，看看为什么bd这么强。菜鸟任性解读，高手毋嘘，欢迎探讨。
首先来一个病毒，http://bbs.kafan.cn/forum.php?mo ... 6orderby%3Ddateline，感谢墨家的辛勤劳动。这个是现在流行的加密勒索类，值得高兴的是现在的杀软比几年前进步很大，基本都可以做到不卡机，主动防御能力忒高。但是我们今天要看的不是谁可以拦截，而是谁拦截得更强，当然只是单一样本的动作，不能说一定所有类型都是谁最好，只是一个推理而已。废话少说，上火绒剑，上图之前，先说火绒的拦截点的几个英文的意思，ba_extrace_pe(释放pe) ba_self_copy（自我复制） ba_self_delete（自我删除），prow_writevm(跨进程写存)PROC_pgprot（跨进程修改内存）
先看总结陈词：

上面啊的是gd，最后一行EXEC_destroy是被杀软拦截成功，病毒退出，从图片的蓝色标记可以很清楚的看出，病毒进行了自我复制，删除，这些是很明显的病毒特征所以gd进行了拦截。这个拦截点已经是很靠后了，就是说已经出现了非常明确的病毒特征。

再来看我的大卡巴，还有比gd更靠后的拦截点，从蓝色的地方可以看出，卡巴比gd还多出一个是ba_exec_extrat(启动自释放文件)，到这一步卡巴才进行拦截。继续

来看看最近风生水起的avg，图片了然看不见蓝色的病毒特征记录了，因为还没到病毒自我复制删除这一步已经被拦截了，图片上看不到的是avg下一步就是FILE_touch（开始创建文件）也就是病毒开始要创建自身之前，avg开始拦截了，所以看不到记录。

一直说不要小看诺顿，这不就来了，对比avg的图片依然没有蓝色明显病毒特征，当然以后出现的图片都没有了，哈哈。对比avg图片最后面可以看到少了EXEC_create（创建进程），也就是说比avg拦截点又再次提前了，当THRD_setctxt（跨进程设置线程上下文）完成，准备开始创建进程这一步已经被拦截了。

再来看被誉为加密勒索克星的蜘蛛，哇就这么一点记录了，都可以看见病毒一开始的启动，然后就做了一下prow_writevm(跨进程写存)就被拦截了，对的，就是这么提前，拦截点继续大幅提前。实际prow_writevm(跨进程写存)后紧接的是PROC_pgprot（跨进程修改内存），但是因为拦截了图片看不到，也就是说蜘蛛根据这两点已经判断是病毒了。

最后上神器，大bd，你们没有看错，病毒只是启动然后就结束了。拦截点最后极限的提前了。这里当然给大家看的是优化后的进程监控，这中间有很多读注册表，读文件这些不太相关的已经屏蔽了，这里不得不说的是这个病毒的一个很大的特征，就是在启动后病毒会暂停运行10几秒，从图片的时间上可以看出，据说这个动作是为了过掉沙盘的回滚（所有回滚都有这个bug），这也就是说为什么很多带回滚的明明很多病毒拦截，却无法回滚的原因，当然这个是道听途说，不知道是否正确。而大bd就是利用了病毒这个特征，在病毒暂停运行后再次启动的时候进行了拦截，当然记录里面不会出现病毒再次启动的记录。

好了全篇完结，其实hips就是根据病毒的一些动作特征进行拦截，每个表现不太同也就是主要拦截点的设置。大bd没有回滚，他自然会把拦截点全部大幅提前，综合利用强大的黑白库进行判断，有了云更是肆无忌惮，avg拦截点也比卡巴提前不少，但是因为库没有bd强大所以误报相对会多一点。大bd确实强大，可惜了防火墙不能互动，太智能，所以会漏掉没有太多特征的木马和流氓，如果bd防火墙可以改为互动，我愿意为他付钱，哈哈。最后还是说到我的大卡巴，大卡巴的拦截点已经非常靠后，可能考虑到误报问题，可能是工程师根本就懒得去修改这些了，但是整体防御上因为多了很多手动可控选项，比如可以设置文件保护，防火墙拦截，最值得说的是程序分组，这样可以最大限度的把白色，灰色文件分开，而且都可以顺利执行。这一点的全局规划是以上所有杀软做不到的，他们非白即黑，卡巴就是一个大家庭只要不犯大错，你就可以活着

显示全部楼层 · 发表于 2016-3-20 12:04:49

支持一个

显示全部楼层 · 发表于 2016-3-20 12:10:55

本帖最后由 pal家族于 2016-3-20 12:12 编辑

请教下。
1 你是如何做到卡巴文件监控可以杀时，还可以绕过，测试主防的？

2 如果病毒只是启动了，就被拦截了，那么，凭什么拦截呢？

3 你是觉得拦截越早越好，还是越晚越好呢？（个人意见）
谢谢

显示全部楼层 · 发表于 2016-3-20 12:13:31

BD的paranoid模式就是防火墙互动啊

显示全部楼层 · 发表于 2016-3-20 12:31:45

那个诺顿呢

显示全部楼层 · 发表于 2016-3-20 12:35:40

突然发现，竟然是断网测试加密勒索！
666666666！

显示全部楼层 · 发表于 2016-3-20 12:41:17

pal家族发表于 2016-3-20 12:35
突然发现，竟然是断网测试加密勒索！
666666666！

并不影响，因为勒索软件最后一步才是出站，如果前面没有拦截，最后只能靠防火墙了，和主防就没有关系了

显示全部楼层 · 发表于 2016-3-20 12:42:02

这就是BD不需要回滚的理由吧
不过这么看难道ATC是个万物杀

显示全部楼层 · 发表于 2016-3-20 12:43:00

本帖最后由 ccboxes 于 2016-3-20 15:04 编辑

你确认BD的主防有云联动和白名单？
BD主防的原理并不是传统的启发特征库方式，最后一段的解释并不正确。
我一直在找介绍BD云的文章，至今也只发现在反垃圾邮件和网页信誉中的云联动，以及管理自启中的社区反馈。

显示全部楼层 · 发表于 2016-3-20 12:46:02

bd就是没有正宗的中国代{过}{滤}理不然好多人都会投入bd的怀抱

[分享] hips主动防御谁家强有图有真相并不是拦截这么简单！

本帖子中包含更多资源

评分