解析启发式杀毒

ccboxes

B100D1E55 发表于 2017-1-2 15:37
对，avast未知入沙之类的。我个人对沙盘了解不深，你说的反沙盘指的是穿沙盘还是说检测沙盘环境并拒绝执 ...

检测沙盘和穿沙一样，只要申请管理员权限就行了，毕竟沙盘不是虚拟机。结果只有两个，一是沙盘不给权限，这样就拒绝执行；再一个就是给了权限，那能做的就多了，直接注册个驱动之类的沙盘就是筛子了。

再一个就是路径依赖了，ESET本身有自己的技术体系，恐怕不会乐意去搞这个。沙盘还是挺难搞的，COMODO搞了这么多年才逐渐完善。

B100D1E55

ccboxes 发表于 2017-1-2 15:46
检测沙盘和穿沙一样，只要申请管理员权限就行了，毕竟沙盘不是虚拟机。结果只有两个，一是沙盘不给权限， ...

这样说来sandboxie的提权是怎么做到的？虽然sandboxie很多东西也无法执行（加驱等会直接终止），但我记得uac似乎还是可以提权的，貌似是通过一个agent之类的？还是说sandboxie为了兼容性就舍弃了安全性？360沙盘限制就严格得多，而且我记得也有人抨击过sandboxie的安全问题

ccboxes

B100D1E55 发表于 2017-1-2 15:40
毕竟早年PUA给我的印象就是报壳……大概就是加大了某些类别收集的力度，钓鱼也是，这些大多都是体力活么 ...

就是力气活，我没见过ESET启发杀PUA，都是明确入库的比如baidu.b Tencent.a啊这样的报毒名，基本上流氓软件就算更迭版本，核心文件也基本不变，不像病毒每个版本都可能是完全不同的。

ccboxes

B100D1E55 发表于 2017-1-2 15:52
这样说来sandboxie的提权是怎么做到的？虽然sandboxie很多东西也无法执行（加驱等会直接终止），但我记得 ...

没用过，但能提权肯定是有隐患的。像你说的Sandboxie可以禁止加驱什么的，那它就不能称作纯沙盘了，已经开始有HIPS的味道了。

B100D1E55

ccboxes 发表于 2017-1-2 16:02
没用过，但能提权肯定是有隐患的。像你说的Sandboxie可以禁止加驱什么的，那它就不能称作纯沙盘了，已经 ...

一直觉得sandboxie不考虑一些安全隐患，弄个沙盘内行为监控的插件还是很方便的。
浏览器虚拟化越发完善后，其实很多早年常见的挂马之类的威胁都越来越少了，而那些感觉都比现今ransomware等麻烦得多

B100D1E55

ccboxes 发表于 2017-1-2 15:54
就是力气活，我没见过ESET启发杀PUA，都是明确入库的比如baidu.b Tencent.a啊这样的报毒名，基本上流氓软 ...

顺带一提，ESET的PUA是有启发的，刚刚测试遇到了一个：
a variant of Win32/DownloadAdmin.W potentially unwanted application;connection terminate
Threat was detected upon access to web by the application:
欧美样本PUA启发其实不少，毕竟这种垃圾很多

pal家族

B100D1E55 发表于 2017-1-2 17:00
顺带一提，ESET的PUA是有启发的，刚刚测试遇到了一个：
a variant of Win32/DownloadAdmin.W potentiall ...

a variant of 就一定是启发吗？其他样本的英文版里貌似也是这样的描述吧？可以核实下吗？
你为什人认为这是一个启发报法呢

B100D1E55

pal家族 发表于 2017-1-2 17:06
a variant of 就一定是启发吗？其他样本的英文版里貌似也是这样的描述吧？可以核实下吗？
你为什人认 ...

参见主楼文章倒数第二段，官方给的说明

pal家族

B100D1E55 发表于 2017-1-2 17:09
参见主楼文章倒数第二段，官方给的说明

你可以去样本区截几个报毒图的吗？我想看看有a variant of 和没有a variant of 都是怎么说的。

B100D1E55

pal家族 发表于 2017-1-2 17:11
你可以去样本区截几个报毒图的吗？我想看看有a variant of 和没有a variant of 都是怎么说的。

人不在电脑旁。。具体报毒规则文末写得很清楚

Something  like  “Win32/Stration. YQ  worm” is  very  specific  and  indicative  of  a  signature  based  detection. The  slightly  different Win32/Nuwar.Gen  worm”  uses “.gen”  to  indicate  that  this  has  been  detected  with  generic detection. Another  detection  that  is  indicative  of  the  use  of  heuristics  is “probably  a  variant of  Win32/PSW.Maran  Trojan”.  This  detection  is  not  an  exact  identification  of  a  threat,  but an  indication  that  the  threat  looks  much  like  the  password  stealing  (PSW)  Maran  Trojan. When  you  see  something  like “a  variant  of  Win32/Exploit.WMF  Trojan”  it  is  also  a  heuristic detection. “Probably  unknown  NewHeur_PE virus”  is  a  heuristic  detection  as  well.  Signature based  detections  are  never  “probably”,  “a  variant”,  “possibly”,  “potentially”,  or  anything  but exact.