楼主: B100D1E55
收起左侧

[技术原创] 解析启发式杀毒

  [复制链接]
ccboxes
发表于 2017-1-2 15:46:44 | 显示全部楼层
B100D1E55 发表于 2017-1-2 15:37
对,avast未知入沙之类的。我个人对沙盘了解不深,你说的反沙盘指的是穿沙盘还是说检测沙盘环境并拒绝执 ...

检测沙盘和穿沙一样,只要申请管理员权限就行了,毕竟沙盘不是虚拟机。结果只有两个,一是沙盘不给权限,这样就拒绝执行;再一个就是给了权限,那能做的就多了,直接注册个驱动之类的沙盘就是筛子了。

再一个就是路径依赖了,ESET本身有自己的技术体系,恐怕不会乐意去搞这个。沙盘还是挺难搞的,COMODO搞了这么多年才逐渐完善。
B100D1E55
 楼主| 发表于 2017-1-2 15:52:58 | 显示全部楼层
ccboxes 发表于 2017-1-2 15:46
检测沙盘和穿沙一样,只要申请管理员权限就行了,毕竟沙盘不是虚拟机。结果只有两个,一是沙盘不给权限, ...

这样说来sandboxie的提权是怎么做到的?虽然sandboxie很多东西也无法执行(加驱等会直接终止),但我记得uac似乎还是可以提权的,貌似是通过一个agent之类的?还是说sandboxie为了兼容性就舍弃了安全性?360沙盘限制就严格得多,而且我记得也有人抨击过sandboxie的安全问题
ccboxes
发表于 2017-1-2 15:54:10 | 显示全部楼层
B100D1E55 发表于 2017-1-2 15:40
毕竟早年PUA给我的印象就是报壳……大概就是加大了某些类别收集的力度,钓鱼也是,这些大多都是体力活么 ...

就是力气活,我没见过ESET启发杀PUA,都是明确入库的比如baidu.b Tencent.a啊这样的报毒名,基本上流氓软件就算更迭版本,核心文件也基本不变,不像病毒每个版本都可能是完全不同的。
ccboxes
发表于 2017-1-2 16:02:33 | 显示全部楼层
B100D1E55 发表于 2017-1-2 15:52
这样说来sandboxie的提权是怎么做到的?虽然sandboxie很多东西也无法执行(加驱等会直接终止),但我记得 ...

没用过,但能提权肯定是有隐患的。像你说的Sandboxie可以禁止加驱什么的,那它就不能称作纯沙盘了,已经开始有HIPS的味道了。
B100D1E55
 楼主| 发表于 2017-1-2 16:17:19 | 显示全部楼层
ccboxes 发表于 2017-1-2 16:02
没用过,但能提权肯定是有隐患的。像你说的Sandboxie可以禁止加驱什么的,那它就不能称作纯沙盘了,已经 ...

一直觉得sandboxie不考虑一些安全隐患,弄个沙盘内行为监控的插件还是很方便的。
浏览器虚拟化越发完善后,其实很多早年常见的挂马之类的威胁都越来越少了,而那些感觉都比现今ransomware等麻烦得多
B100D1E55
 楼主| 发表于 2017-1-2 17:00:24 | 显示全部楼层
ccboxes 发表于 2017-1-2 15:54
就是力气活,我没见过ESET启发杀PUA,都是明确入库的比如baidu.b Tencent.a啊这样的报毒名,基本上流氓软 ...

顺带一提,ESET的PUA是有启发的,刚刚测试遇到了一个:
a variant of Win32/DownloadAdmin.W potentially unwanted application;connection terminate
Threat was detected upon access to web by the application:
欧美样本PUA启发其实不少,毕竟这种垃圾很多
pal家族
发表于 2017-1-2 17:06:00 | 显示全部楼层
本帖最后由 pal家族 于 2017-1-2 17:07 编辑
B100D1E55 发表于 2017-1-2 17:00
顺带一提,ESET的PUA是有启发的,刚刚测试遇到了一个:
a variant of Win32/DownloadAdmin.W potentiall ...


a variant of 就一定是启发吗?其他样本的英文版里貌似也是这样的描述吧?可以核实下吗?
你为什人认为这是一个启发报法呢
B100D1E55
 楼主| 发表于 2017-1-2 17:09:12 | 显示全部楼层
pal家族 发表于 2017-1-2 17:06
a variant of 就一定是启发吗?其他样本的英文版里貌似也是这样的描述吧?可以核实下吗?
你为什人认 ...

参见主楼文章倒数第二段,官方给的说明
pal家族
发表于 2017-1-2 17:11:57 | 显示全部楼层
B100D1E55 发表于 2017-1-2 17:09
参见主楼文章倒数第二段,官方给的说明


你可以去样本区截几个报毒图的吗?我想看看有a variant of 和没有a variant of 都是怎么说的。
B100D1E55
 楼主| 发表于 2017-1-2 17:20:13 | 显示全部楼层
pal家族 发表于 2017-1-2 17:11
你可以去样本区截几个报毒图的吗?我想看看有a variant of 和没有a variant of 都是怎么说的。

人不在电脑旁。。具体报毒规则文末写得很清楚
Something  like  “Win32/Stration. YQ  worm” is  very  specific  and  indicative  of  a  signature  based  detection. The  slightly  different Win32/Nuwar.Gen  worm”  uses “.gen”  to  indicate  that  this  has  been  detected  with  generic detection. Another  detection  that  is  indicative  of  the  use  of  heuristics  is “probably  a  variant of  Win32/PSW.Maran  Trojan”.  This  detection  is  not  an  exact  identification  of  a  threat,  but an  indication  that  the  threat  looks  much  like  the  password  stealing  (PSW)  Maran  Trojan. When  you  see  something  like “a  variant  of  Win32/Exploit.WMF  Trojan”  it  is  also  a  heuristic detection. “Probably  unknown  NewHeur_PE virus”  is  a  heuristic  detection  as  well.  Signature based  detections  are  never  “probably”,  “a  variant”,  “possibly”,  “potentially”,  or  anything  but exact.
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 13:34 , Processed in 0.092006 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表