求介绍BD的ATC原理

ccboxes

fireherman 发表于 2016-10-5 11:10
这个我倒可以理解。

---

你给出的这个思路并不是主防，而是ESET的高级内存扫描

你要明白存储在内存中的指令本身仍然是数据，是二进制数，是因为被系统内核加载到指令寄存器才能运作，这种底层的汇编指令都是针对某一寄存器或某一地址空间的数学操作，而主防并没有深入到这一层，主防是通过内核驱动（HOOK系统API也可以，就是强度太低只是玩具）截取系统“消息”（即汇编层的上层）来获知被监视程序的动作的。而据我猜测，ESET的高级内存扫描是在可疑程序加载后，扫描其所申请的地址空间内的汇编数据，其本质上还是汇编层的静态启发（其实相当高大上），但汇编层安全近几年并无重大突破，从ESET尴尬的双击结果来看，其技术还很不成熟。

aquablue

ccboxes 发表于 2016-10-5 02:08
首先楼上那几位都在说什么啊。。。。。。。。。。。。。。。。。。。。。
基本没对的。。。。。。。。。。 ...

学习了。祝愿你早日成为正式写手。

fireherman

ccboxes 发表于 2016-10-5 12:38
你给出的这个思路并不是主防，而是ESET的高级内存扫描

你要明白存储在内存中的指令本身仍然是数 ...

ESET的高级内存扫描 就是主防的一种。

ccboxes

fireherman 发表于 2016-10-5 18:46
ESET的高级内存扫描 就是主防的一种。

原先我也这样认为，但在详细看过帮助文档后，我确认高级内存扫描不是主防

驭龙

ccboxes 发表于 2016-10-5 19:16
原先我也这样认为，但在详细看过帮助文档后，我确认高级内存扫描不是主防

你哪里看的帮助文件？广义上AMS就是主防中的行为分析，虽然不是严格意义上的主防，但广义上确实是行为分析，通过DNA特征的行为分析

Advanced memory scanner
Advanced Memory Scanner is a unique ESET technology which effectively addresses an important issue of modern malware – heavy use of obfuscation and/or encryption.To tackle these issues, Advanced Memory Scanner monitors the behavior of a malicious process and scans it once it decloaks in memory.
Show more
Whenever a process makes a system call from a new executable page, Advanced Memory Scanner performs a behavioral code analysis using ESET DNA Signatures. Thanks to implementation of smart caching, Advanced Memory Scanner doesn't cause any noticeable deterioration in processing speeds.
Moreover, there is a new trend in advanced malware: some malicious code now operates "in-memory only", without needing persistent components in the file system that can be detected conventionally. Only memory scanning can successfully discover such malicious attacks and ESET is ready for this new trend with its Advanced Memory Scanner.

windows7爱好者

我等小白前来围观

fireherman

ccboxes 发表于 2016-10-5 19:16
原先我也这样认为，但在详细看过帮助文档后，我确认高级内存扫描不是主防

怎么说呢……主动防御现在似乎还没有明确的定义。

大部分所说的【主动防御】：

最大的共识：程序已经开始运行（例如双击后）。

最大的歧义：程序的数据到达哪一步被拦截才算真正的主防。

如一个视频软解码程序，它由存在到激活这一大段时间里：

1.物理磁盘[静态数据] ->
2.内存空间[未执行的数据] ->
3.CPU缓存[等待执行的数据] ->
4.CPU寄存器[开始要执行的数据] ->
5.CPU中央处理器[正在处理的数据] ->
6.返回被处理的数据[外设]

ESET的高级内存扫描属于最前端拦截，一般的主防都是2-4之间。

这就不太明白其他是怎么拦截的。

ccboxes

驭龙 发表于 2016-10-5 19:25
你哪里看的帮助文件？广义上AMS就是主防中的行为分析，虽然不是严格意义上的主防，但广义上确实是行为分 ...

官方的在线帮助，而你给出的这段描述让我坚定了“高级内存扫描”不是主防的看法，无论广义狭义，主防都是建立在HIPS的基础上的，而HIPS通过系统的消息层来截获受监控程序的行为，从

scans it once it decloaks in memory.

与

a process makes a system call from a new executable page, Advanced Memory Scanner performs a behavioral code analysis using ESET DNA Signatures

可知高级内存扫描是一种特殊的扫描方法，其直接调用启发引擎扫描可疑程序申请的内存页面，对加载到其中的汇编数据进行启发分析，本质上是汇编层的静态启发。

如果所有基于行为的分析都可以算作主防的话，动态启发甚至绝大部分启发式分析都可以叫做主防，他们同样基于行为，都可以在一定程度上检测变种与未知威胁。

ccboxes

fireherman 发表于 2016-10-5 19:36
怎么说呢……主动防御现在似乎还没有明确的定义。

大部分所说的【主动防御】：

你的分层错了，寄存器是用来表示CPU当前各部件状态和暂存操作结果的到这一步就已经无法拦截或阻止了（除非物理断电）。另外，现代CPU都工作在保护模式下，程序通过一般手段无法获取硬盘与内存的物理地址，其操作的都是系统内核提供的虚拟地址，因而系统的消息层被你忽略了。

这个解释起来好麻烦你上网听几节微机原理和操作系统原理的慕课就能有个基本认识。

fireherman

ccboxes 发表于 2016-10-5 20:12
你的分层错了，寄存器是用来表示CPU当前各部件状态和暂存操作结果的到这一步就已经无法拦截或阻止了（除 ...

已经严重过了上学年龄，也没这种精力去听课了。

Oh..... My Youth!!!!!!