问个关于IDP主防的问题

蓝天二号

我在想IDP主防 双击后等样本跑完才出结果。这中间是否挂起行为？如果，没有挂起 那跑远控或者勒索类的 不是肉鸡的节奏，，，，

T.Yoshiyuki

大概是邊監測邊備份吧 我猜
要回滾 就得記錄
要記錄 就得監測
要監測 就得讓它跑
至於怎麼“跑” 是放它在虛擬環境跑 還是邊跑邊備份
這種技術上的東西我這種小白是不知道滴

總之備份環節肯定有吧 不然怎麼回滾勒索……

遠控我空想想大概截斷其聯網就沒問題吧……
IDP對勒索倒是回滾得不是很完全 我有次在沙盒跑勒索樣本 IDP不鳥 結果QQ一些緩存中招了

蓝天二号

T.Yoshiyuki 发表于 2016-10-1 13:09
大概是邊監測邊備份吧 我猜
要回滾 就得記錄
要記錄 就得監測

之前我在沙箱跑了个样本 IDP全程无反应，，结果衍生物是 UC PC版浏览器 被安装到了系统里。。。。

另外，我发现AVG 依靠云端的地方不多？不像sonar  ，APC 之类。。。

枫狐狸

蓝天二号 发表于 2016-10-1 13:14
之前我在沙箱跑了个样本 IDP全程无反应，，结果衍生物是 UC PC版浏览器 被安装到了系统里。。。 ...

安装这货后一直卡，无法打开任何的软件，包括系统设置，程序卸载。垃圾箱等等，为何？

ELOHIM

人家又不是想肉鸡住你。
只要联网了，能把想要的数据发出去就行了。
虚拟机更有迷惑性。
认为虚拟机安全。但是只是相对而言吧。
虚拟机双击的可能性比宿主机要多很多倍。
穿不透宿主机我不清楚。
但是，盗号，搞搞小动作，还是很轻松的。

蓝天二号

枫狐狸 发表于 2016-10-1 14:22
安装这货后一直卡，无法打开任何的软件，包括系统设置，程序卸载。垃圾箱等等，为何？

没有啊，我这边一直很流畅，，，，

pal家族

我个人还是认为智能住房都得先让样本跑一些行为，鉴定出恶意之后再挂起，依照行为备份回滚

蓝天二号

pal家族 发表于 2016-10-1 17:09
我个人还是认为智能住房都得先让样本跑一些行为，鉴定出恶意之后再挂起，依照行为备份回滚

跑一些行为。。关键是怎么跑？就怕白加黑，远控这种，，中途有变卦，，，，

pal家族

蓝天二号 发表于 2016-10-1 17:24
跑一些行为。。关键是怎么跑？就怕白加黑，远控这种，，中途有变卦，，，，

还能怎么跑啊
不在真实环境跑，凭什么说是恶意软件。。。。。

如果是虚拟机里模拟行为，我觉得那算是特殊的扫描过程。

智能主防不就是这样的吗，你远控miss了，瞎删你文件也没有办法。（半自动化防火墙有一定效果）

Heuristic analysis in Kaspersky Endpoint Security 10 for Windows
Back to "Service Articles" 2015 Nov 09 ID: 12370


What is heurisitc analysis?
Heuristic analysis is a protection technology that allows detecting threats which cannot be detected using antivirus databases due to the lack of signatures. Heuristic analysis allows detecting polymorphic viruses that can modify the file with malicious code at every infection. Objects detected by the heuristic analyzer are assigned the status of possibly infected objects.



Heuristic analysis is a proactive protection technology, which identifies files based on their behavior and is able to detect polymorphic viruses using preset search algorythms.



Heuristic analyzer is a module that operates based on heuristic analysis.

Static and Dynamic analysis
Static analysis scans the code for suspicious commands typical of malware. For example, it is typical of malware to find and modify executable files. The heuristic analyzer has a "suspect counter" that increases each time it detects a suspicious command or code block in a program. If the "suspect counter" of a program exceeds a certain limit, it is assigned the suspicious status.



Heuristic analysis reads the program code. If it contains a suspicious command or a piece of code, the level of "suspiciousness" becomes higher. If the threshold value is reached after scanning of the whole object, it is identified as suspicious.



Dynamic analysis launches the program in a special virtual environment. If the heuristic analyzer detects malicious activity, the program is identified as malware and blocked.



Kaspersky Endpoint Security 10 for Windows uses both static and dynamic analysis methods.

The dynamic method consumes more resources than the static analysis.

The detection rate of the dynamic analysis is higher than that of the static analysis, and it produces far less false positives.

Components using the heuristic analyzer
The following Kaspersky Endpoint Security 10 for Windows components use the heuristic analyzer.

File Anti-Virus
Mail Anti-Virus
Web Anti-Virus
IM Anti-Virus
Application Privilege Control
System Watcher
Scan tasks

蓝天二号

pal家族 发表于 2016-10-1 17:29
还能怎么跑啊
不在真实环境跑，凭什么说是恶意软件。。。。。

不知道这种远控，白加黑，对于 像sonar，APC那比较依靠云端的主防 防御如何，，，