楼主: B100D1E55
收起左侧

[分享] 动态启发逃逸大法

  [复制链接]
B100D1E55
 楼主| 发表于 2017-2-3 23:51:56 | 显示全部楼层
灭灭之痕 发表于 2017-2-3 23:40
动态启发的模拟的环境的确是存在非常大的局限,虽然理论上能够补充静态启发的很多不足,但是实际运行为了考 ...


虽然云鉴定、云拉黑一直被坛友诟病,我个人认为这反倒是现阶段更顺应形势的做法。既然扫描仿真有着技术上的“天花板”,比起继续消耗人力物力来换取极小的回报,直接解除这道限制或许才是根本的解决之道。毒区那个lambda locker虽然一开始穿了BD,但是3小时左右就被BD云鉴定入库了,侧面也体现了这点

当然反过来完全放弃本地引擎和特征的做法……也不可取
linzh
发表于 2017-2-4 00:03:23 | 显示全部楼层
灭灭之痕 发表于 2017-2-3 23:40
动态启发的模拟的环境的确是存在非常大的局限,虽然理论上能够补充静态启发的很多不足,但是实际运行为了考 ...

要说完美的解决方案不可能有吧,云方案是最完美的,却有受限于网络
如果论本地的话病毒在暗杀软在明,要过还是相对容易的
B100D1E55
 楼主| 发表于 2017-2-4 00:11:07 | 显示全部楼层
linzh 发表于 2017-2-4 00:03
要说完美的解决方案不可能有吧,云方案是最完美的,却有受限于网络
如果论本地的话病毒在暗杀软在明,要 ...

我一直怀疑有些能力差的厂商云端是不是就直接抄袭其他杀软鉴定结果了……一直很想有机会搞一堆样本回归统计一下VT上哪家和哪家检出的相关性极大。某种程度来说用云端用来掩盖厂商技术上的无能实在太方便了
linzh
发表于 2017-2-4 00:15:23 | 显示全部楼层
B100D1E55 发表于 2017-2-4 00:11
我一直怀疑有些能力差的厂商云端是不是就直接抄袭其他杀软鉴定结果了……一直很想有机会搞一堆样 ...

基本上都是盯着ESET和卡巴看的。。。
784696777
发表于 2017-2-4 00:40:47 | 显示全部楼层
赞一下“严格控制误报”,误报大的杀毒确实信不过。还没等对方劝自己就把杀软关了的大有人在。
灭灭之痕
发表于 2017-2-4 09:46:21 | 显示全部楼层
B100D1E55 发表于 2017-2-3 23:51
虽然云鉴定、云拉黑一直被坛友诟病,我个人认为这反倒是现阶段更顺应形势的做法。既然扫描仿真有着技术 ...

个人感觉云方案主要是克服了两个瓶颈:一个是有限的性能(云服务器能够提供更加详尽和彻底的分析),一个是有限的样本(相当于有一个超级大的病毒库),这两个突破正好弥补了本地动态启发的不足。因此整体来说是一个较为令人满意的方案(相当于每个人都能够使用一台超级计算机来应付病毒)。
但是局限也是明显的,其实也就是网络依赖和分析延时。没了网络,云的基础就没有了。分析延时相对于以前来说变短了很多,但是严格来说并不能阻止病毒在一定程度上的传播,特别是变种(您举得BD的例子有3个小时,我觉得已经挺久的了)。
很早以前在红伞中国服务者使用论坛混的时候和别人构思过几个想法,就是所谓的“实时升级”(常年驻留一个进程用于获得基本实时的病毒升级数据),还有一个是用以补充实时升级的“怀疑库”,主要是为了分析延时的问题,就是首先将样本拉到一个“存疑特征库库”中,如果经过彻底分析是恶意程序则完成入库过程;否则就在测试后释出。在这个存疑特征库中时不进行病毒处理(可以限制一些权限),但是会提示运行风险(当时是受到毛豆的报警以及微点的启发)并向用户给出推荐选择,试着让用户理解执行风险,尽可能让用户阻止其前期的运行(当然用户如果觉得没有问题也可以选择运行)。两个想法很接近现在的云和现有的主防,但是现在看来还是不够完美。只能说矛盾之间永远在互相竞争中进步,即使量子计算机出现了也未必能解决问题,创造的问题永远比解决的问题要多……
灭灭之痕
发表于 2017-2-4 09:57:25 | 显示全部楼层
784696777 发表于 2017-2-4 00:40
赞一下“严格控制误报”,误报大的杀毒确实信不过。还没等对方劝自己就把杀软关了的大有人在。

感觉其实这也得看误报对于个人的影响,就像有些杀毒软件经常干掉腾讯一些游戏的进程,对于我这种不打游戏的就无所谓,可是对于那些LOLer,估计恨不得把安软公司拆了……
但是太谨慎带来的漏杀也不是没有,一切看权衡,只是对于普通用户来说,误报一般造成的威胁更大,因为那些写得很好的病毒一般不是给普通用户用的,这点漏杀基本没有影响,但是误报却有可能无处不在,而且更容易让人对安软的资质产生怀疑。
只能说安软的开发者也很难办。
houtiancheng
发表于 2017-2-4 10:27:34 | 显示全部楼层
灭灭之痕 发表于 2017-2-4 09:46
个人感觉云方案主要是克服了两个瓶颈:一个是有限的性能(云服务器能够提供更加详尽和彻底的分析),一个 ...

现在毛豆其实就是走这条路了,云信誉拉黑加白+灰文件行为限制/虚拟化
houtiancheng
发表于 2017-2-4 10:28:59 | 显示全部楼层
B100D1E55 发表于 2017-2-3 22:44
似乎能理解为什么某些厂商死啃扫描……主防不仅有潜在性能问题,还要看内核开发人员水平如何。不过脚本小 ...

主防毕竟不是简单加些花指令就能过的东西,所以还是好一些~
当然云也是目前最有效的防御方案之一,所以我一直期望BD和红伞合并
B100D1E55
 楼主| 发表于 2017-2-4 11:19:43 | 显示全部楼层
灭灭之痕 发表于 2017-2-4 09:46
个人感觉云方案主要是克服了两个瓶颈:一个是有限的性能(云服务器能够提供更加详尽和彻底的分析),一个 ...

感觉你说的几个点子现在都已经有商业化的实现了,实时升级早年有诺顿的脉动更新,现在有webroot这样的纯云杀软。至于之所以不做怀疑库是因为未知文件太多吧,为了提高实用性只能通过数字签名和文件广度简单定义一下灰文件了,SONAR,deepscreen也把这个当作指标之一
其实3小时不算太慢,那个Lambda Locker传播广度相当小。当然金山那种纯靠云端鉴定的速度更快,但抗变形能力就……
性能问题其实是个悖论,恶意文件分析的性能瓶颈是相对于实机性能而言,就算计算机性能继续提高,分析性能和实机性能也很难靠拢,这个很大程度上是程序内部特性决定的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 22:58 , Processed in 0.109433 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表