楼主: B100D1E55
收起左侧

[分享] 动态启发逃逸大法

  [复制链接]
erui
发表于 2017-2-4 12:37:48 | 显示全部楼层
B100D1E55 发表于 2017-2-4 00:11
我一直怀疑有些能力差的厂商云端是不是就直接抄袭其他杀软鉴定结果了……一直很想有机会搞一堆样 ...

呵呵,我也有过类似的想法,我以前认为有个别厂家利用云查杀在背后使用其他厂家的杀毒引擎,或者有可能利用云端搜集客户端的病毒样本做交换,换取利益。
灭灭之痕
发表于 2017-2-4 16:03:21 | 显示全部楼层
B100D1E55 发表于 2017-2-4 11:19
感觉你说的几个点子现在都已经有商业化的实现了,实时升级早年有诺顿的脉动更新,现在有webroot这样的纯 ...

我们当时的构思也是根据那个年代已有产品的思路,我们觉得很快会有人做出来(当年微点和毛豆貌似都很接近后者,前者后来看到云安全这个概念也基本实现了),如今过了十年了,的确是都做了出来,虽然和我们当时理想的还有一定的距离。
就像你说的,主要矛盾还是会卡在实机性能这个瓶颈上。就以云的思路来说,其实相当于把原本扔给启发的任务划了一部分出去,能够尽快确认的本地启发尽快解决,如果无法快速确认的就到云服务器去进行深层次分析。所以理想的状态就是启发(本地扫描)主防(关键操作监视)都有的情况下配合云服务(打破分析所需性能瓶颈)进行使用,现在有些厂商已经做得不错了。但是不论如何还是丢不下实际的性能和使用的问题,所以即使有的厂商做到了也是“跛脚”的,结果就是为了打破性能局限所做的改变最后还是被本地性能卡得死死的……
灭灭之痕
发表于 2017-2-4 16:06:49 | 显示全部楼层
B100D1E55 发表于 2017-2-4 11:19
感觉你说的几个点子现在都已经有商业化的实现了,实时升级早年有诺顿的脉动更新,现在有webroot这样的纯 ...

对了,还有一种超级强力的终极杀毒软件:良好的上网习惯
灭灭之痕
发表于 2017-2-4 16:13:30 | 显示全部楼层
erui 发表于 2017-2-4 12:37
呵呵,我也有过类似的想法,我以前认为有个别厂家利用云查杀在背后使用其他厂家的杀毒引擎,或者有可能利 ...

以前就有传闻说很多厂商之间会共享特征库,我觉得共享云端记录很正常……有OEM引擎的厂商甚至更容易这么搞“你让我用你家引擎,我帮你收集(特定市场)样本”,觉得考虑到中国网络环境的特点,有人肯帮着收集样本估计那些自己研发引擎的厂商是很乐意的做这个py交易的
cemiko 该用户已被删除
发表于 2017-2-4 19:02:32 | 显示全部楼层
本帖最后由 68221281 于 2017-2-4 19:15 编辑

怎么感觉上述绕不过信誉杀
QVM是要依靠白名单库的,自己编的没签名,当然万物杀了  另外,360是有开发者模式的。。。
其实正是因为QVM敏感,才很难免杀吧。从某种意义上讲,还是很有积极意义的。其它的安软,例如trend micro也是有基于白名单的非白即黑的。其实我觉得安软的使用者,自己也应该具备一些安全常识和手段。了解自己使用的安软特性,和各种报毒名。
天剑
发表于 2017-2-4 21:13:34 | 显示全部楼层
楼主辛苦了,但是知道了有什么用呢,我能编出启发杀软然后克服诸多弊端?
erui
发表于 2017-2-4 21:46:26 | 显示全部楼层
寻找新的反病毒模式,打开思路,如果我们只是保护自己的数据和文档,如果我们仅仅保护的是操作系统能正常使用,真不知道另外一种反病毒模式会是怎样的?
B100D1E55
 楼主| 发表于 2017-2-4 22:10:17 | 显示全部楼层
erui 发表于 2017-2-4 12:37
呵呵,我也有过类似的想法,我以前认为有个别厂家利用云查杀在背后使用其他厂家的杀毒引擎,或者有可能利 ...

这个应该真是有的。有一些厂商曾经非常隐晦地点出来过,但为了避免口水就不说了
B100D1E55
 楼主| 发表于 2017-2-4 22:18:51 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-2-4 22:20 编辑
68221281 发表于 2017-2-4 19:02
怎么感觉上述绕不过信誉杀
QVM是要依靠白名单库的,自己编的没签名,当然万物杀了  另外,36 ...


信誉杀误杀太多了……
QVM的确检出率高,但我个人不是很认同这个设计思路。反病毒软件顾名思义反的是恶意程序,而不是反不常见的程序。这种异常检测在NIDS中很常见(也属于潜在高误报),但人家是因为只能宏观观察统计信息而没法深入挖掘细节,对文件的判识却并没有这种条件限制。有的杀毒引擎例如ESET在侦测的时候是基于无罪推断,然后观察到恶意行为后判为毒。所以你会发现就算有时候在程序中嵌入shellcode这种明显是毒的内容,只要程序没产生实质性破坏ESET就不会报毒,也因此它连开发者模式都不需要。
反过来一个程序非主流就一定是恶意程序吗?QVM经过那么多年发展,去年还是杀了UWP商店的脸书客户端导致程序异常(可见其比传统杀毒引擎更依赖训练集,训练集涵盖面太小就废了),未来再报毒的时候用户是不是会想“估计这又像上次那样是个误杀”?
安软的使用者不应该分担鉴别病毒的任务,既然都付了钱叫厂商帮忙判断了,自己却还要甄别是不是危险还是误报难道不是安全厂商的无能和失职吗?
B100D1E55
 楼主| 发表于 2017-2-4 22:27:14 | 显示全部楼层
天剑 发表于 2017-2-4 21:13
楼主辛苦了,但是知道了有什么用呢,我能编出启发杀软然后克服诸多弊端?

从两方面理解:1)现有启发引擎必须在速度和仿真完整度上进行改进 2)某些厂商应该摒弃“本地引擎才是硬道理”的无谓的执着,尽快赶上潮流或提供更好的解决方案
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:22 , Processed in 0.098350 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表