ESET侦测技术之演进

fireherman

欧阳宣 发表于 2017-1-20 18:11
连sonar都报的东西没理由不怀疑啊，你要说Heur.AdvML.A误报多才是真的

AMS的检测码从平时少数出现的情 ...

在样本区曾经试过一个这样的样本：

下载后，解压不杀，Live Grid显示高危，手动扫描（设置为【详细扫描】）不杀；双击后，AMS报毒（明确的报毒名，非Suspicious Object拉黑）；

显然……如无意外…… 这个病毒程序应该就是加了花（指令）绕过了检测（手动扫描默认且也必须脱壳扫描）；又或者程序压缩的嵌套层数超过ESET的（默认）峰值，运行后才能检测到。

至于“AMS自己的检测码”还真没见过（可能和病毒库命名相似/相同？）；就真不得而知了。

还有一点：AMS明显是基于HIPS的一种……一种主防；它并非“被”归类到ESET的HIPS模块里，而是……它的运作本身就需要HIPS的支持；如果关闭HIPS，那么AMS也会被自动关闭。

官方的视频也说明：AMS和病毒库是息息相关的：

https://www.youtube.com/watch?v=I4tnzZP_B5U

百毒盘：链接：http://pan.baidu.com/s/1ch4cR8 密码：7v9j

fireherman 发表于 2017-1-20 19:25
在样本区曾经试过一个这样的样本：

下载后，解压不杀，Live Grid显示高危，手动扫描（设置为【 ...

我没有特别测试过AMS。不过按照ESET自己的说法，AMS用的应该是DNA签名


楼主的翻译也是基于ESET的这个白皮书：
[mw_shl_code=css,true]https://cdn2-prodint.esetstatic.com/ESET/INT/Docs/Others/Technology/ESET-Technology.pdf[/mw_shl_code]

fireherman

霄栋 发表于 2017-1-20 21:30
我没有特别测试过AMS。不过按照ESET自己的说法，AMS用的就是DNA签名

那ESET不是自打嘴巴么？那边厢说别人MD5云防，这边厢自己就用DNA验证。

fireherman 发表于 2017-1-20 21:34
那ESET不是自打嘴巴么？那边厢说别人MD5云防，这边厢自己就用DNA验证。

按照白皮书的说法，DNA签名是一个比较复杂的特征，它本身包含了行为特征，因此优于md5这类的检测方法。

fireherman

霄栋 发表于 2017-1-20 21:37
按照白皮书的说法，DNA签名是一个比较复杂的特征，它本身包含了行为特征，因此优于md5这类的检测方法。

反正都是我等……不对……只是我这种小白看不懂的黑技术。

fireherman 发表于 2017-1-20 21:38
反正都是我等……不对……只是我这种小白看不懂的黑技术。

正是由于AMS这种检测方法和传统的主防有所区别，所以龙大和ccboxes关于它AMS到底算不算主防也存在不同的认识。不过毕竟这个白皮书已经是过去式了，现在ESET的AMS是什么情况我也不太清楚

fireherman

霄栋 发表于 2017-1-20 21:41
正是由于AMS这种检测方法和传统的主防有所区别，所以龙大和ccboxes关于它AMS到底算不算主防也存在不同 ...

架构可能改变，存在感依然不变。

Microsoftheihei

ams对付白加黑远控效果还不错，其他方面没啥存在感

B100D1E55

霄栋 发表于 2017-1-20 21:30
我没有特别测试过AMS。不过按照ESET自己的说法，AMS用的应该是DNA签名

其实那白皮书也不算过时，ESET官网也还都是这些内容。我当时差不多就是参考类似这个文档的几篇PR文附加其他几个blog post写的，等下应该把引用来源放上来
AMS核心应该就是把前摄性扫描拓展到运行时扫描，还要加缓存减少性能影响。网上fxxk AMS的方法也不少，除了ESET本身设计缺陷外有一些内存内混淆的方法，继续学习中……

B100D1E55

欧阳宣 发表于 2017-1-20 18:11
连sonar都报的东西没理由不怀疑啊，你要说Heur.AdvML.A误报多才是真的

AMS的检测码从平时少数出现的情 ...

或许我应该改一下对sonar的评价。。毕竟我最后一次用norton是12年的时候，那时候sonar在我机器上误杀非常严重（稍微小众一点的白文件都经常被吞）。advancedML如果是基于统计ML且技术糙的话误报肯定是杠杠的（连QVM都多次报过facebook程序）。个人还是比较认同vb100那种有误杀就不及格的做法