楼主: B100D1E55
收起左侧

[分享] 动态启发逃逸大法

  [复制链接]
B100D1E55
 楼主| 发表于 2017-2-4 22:29:23 | 显示全部楼层
灭灭之痕 发表于 2017-2-4 16:06
对了,还有一种超级强力的终极杀毒软件:良好的上网习惯

其实我对这个观点一直不认同……什么叫良好?如果小站下的软件都不运行即良好,这样用计算机不觉得很窝囊吗?未知发件人发的附件都不敢打开,那么如果是不熟悉的重要客户怎么办……所以这句话没解决任何现实的问题
B100D1E55
 楼主| 发表于 2017-2-4 22:36:59 | 显示全部楼层
erui 发表于 2017-2-4 21:46
寻找新的反病毒模式,打开思路,如果我们只是保护自己的数据和文档,如果我们仅仅保护的是操作系统能正常使 ...

这要看用户需求,如果如你所说对自由度、易用性要求比较低的话,白名单降权禁运等策略或许比大多杀软都有效(不考虑0-day),但易用性是另一回事,所以无法对大众推广
cemiko 该用户已被删除
发表于 2017-2-4 23:39:31 | 显示全部楼层
B100D1E55 发表于 2017-2-4 22:18
信誉杀误杀太多了……
QVM的确检出率高,但我个人不是很认同这个设计思路。反病毒软件顾名思义反的是 ...


数字免费的啊。前期靠流氓来提升占有率,以它现在的占有率,肯定有其它任何厂商所不及的白名单库。  而且瞄准的就是国内小白市场,facebook什么的得Fan{过}{滤}Qiang吧。数字的定位和采取的技术,可以说是完美的契合的。而且依靠快速的云,降低误报的速度也比较快的,毕竟对于用户来讲,中毒还是要比误报闹心的多。
信誉杀的话还好,我平时使用NPE也扫不出来什么东西。这个真的看人怎么使用。
B100D1E55
 楼主| 发表于 2017-2-5 00:09:03 | 显示全部楼层
68221281 发表于 2017-2-4 23:39
数字免费的啊。前期靠流氓来提升占有率,以它现在的占有率,肯定有其它任何厂商所不及的白名单库。  而 ...

杀脸书的是360TS……现在海外都已经开始收费服务了,本土化却还停留在初始阶段说不过去了吧
收费不收费且不说(数字算良心的,有的收费厂商那误报啧啧),这里主要是一个使用群体和设计思路的问题。如果用户隶属于“主流”,遇到问题的概率自然会小一点,但为此强迫自己的使用习惯变成“主流”就本末倒置了。反过来国内网络环境下不像数字那样下狠手是不行的,这点也算能理解,ESET早年国内中招概率并不小
灭灭之痕
发表于 2017-2-5 00:41:53 | 显示全部楼层
B100D1E55 发表于 2017-2-4 22:29
其实我对这个观点一直不认同……什么叫良好?如果小站下的软件都不运行即良好,这样用计算机不觉得很窝囊 ...

倒也没有那么极端,也就是用一个漏洞少一点的浏览器,下载可信度比较高的软件,接收文件的时候确认好发件人什么的。窝囊更多地是相对于中度或者重度PC使用者来说,但是对于那些轻度电脑使用者,倒也不会觉得窝囊。
所以对于这些轻度PC使用者,他们要是习惯比较好,理论上染毒概率很低,途径也很少,从这个角度来说,这种“良好”的确能很大程度保证安全,界限略微模糊,保持谨慎就好,虽然很难防住毒网和挂马以及各种流氓:一切都是看需求的嘛!
现在免杀市场还是存在,但是对于杀毒软件来说,能够保证大部分人没有问题,也就足够了。当然,对于用户来说,需要软件厂商做得更好是必须的。
灭灭之痕
发表于 2017-2-5 00:48:11 | 显示全部楼层
B100D1E55 发表于 2017-2-4 22:18
信誉杀误杀太多了……
QVM的确检出率高,但我个人不是很认同这个设计思路。反病毒软件顾名思义反的是 ...

不是很了解QVM,但是以前貌似有人说其实就是基于云库的一种“启发”,不知道能否介绍一下其具体实现思路?以前好像有看新闻说这个技术小组内部有一些搞搜索引擎的人,可以利用搜索引擎中的一些经验来实现快速查找和特征提取,不知真假……
不过如果传闻是真的话,的确会很以来训练集啊……就像搜索引擎,抓到的东西太少,照样白瞎……
B100D1E55
 楼主| 发表于 2017-2-5 01:13:33 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-2-5 01:31 编辑
灭灭之痕 发表于 2017-2-5 00:48
不是很了解QVM,但是以前貌似有人说其实就是基于云库的一种“启发”,不知道能否介绍一下其具体实现思路 ...


我也不了解,以下只是猜的,有可能有错:

恶意程序判别的核心在于和正常文件区分开来,这可以是行为层面的(大部分杀软的手段),但也可以是数据层面的。以二维平面为例,假设坐标轴是文件的某种指标,将正常文件和恶意文件放在平面对应的位置上,通过一些算法可以计算一条直线把两者分成好和坏两块区域(当然实际上总有一些例外的数据点)。对新文件判别的时候提取这个特征并计算落在哪个区域即可知道分拣结果
现实生活中自然不可能这么简单(很有可能二维空间上两种文件仍然聚成一团,用线划分没有意义),因此需要增加更多指标,SVM算法就将其变成一个高维的分拣空间(分割线也变成了高维的分割面)。特征越多理论上更精确。当然要提取什么样的特征就要看设计者的水平了。这些指标可以是PE文件头的特征、文件生成时间之类的metadata,壳特征,等等。
缺点也有,除误报比较难(我猜的)、训练数据的选择都会影响结果。这里还有一个问题是,如果QVM不脱壳,我认为它是无法看到加壳程序实际的恶意代码的。这种基于数据而不是基于指令行为本身的挖掘到底准确吗(加壳则数据熵增高,应该很难从中获取有用信息)?之前问了360某工作人员,不过他也不置可否。换句话说,QVM更像是通过一个程序在数据特征上距离正常程序的距离来判定是否为恶意程序,而不是通过这个程序是否的确真的展现出了恶意行为来判定。当然这里不排除云端QVM是虚拟机中跑开后提取特征,而本地QVM是不脱壳直接挖掘数据特征的可能性。

我个人认为像MalHeur那种在行为层面上经过kNN分拣的方法应该更接近“恶意行为判别”

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
JohnScottZ
发表于 2017-2-5 01:33:58 | 显示全部楼层
看不懂,,,,
天剑
发表于 2017-2-5 09:35:09 | 显示全部楼层
B100D1E55 发表于 2017-2-4 22:27
从两方面理解:1)现有启发引擎必须在速度和仿真完整度上进行改进 2)某些厂商应该摒弃“本地引擎才是硬 ...

任何厂商不会因为这篇文章而改进。如果厂商连这些浅显的道理都不懂就太次了,只是没有找到解决的方法而已。最主要的原因是对系统的影响,而且,目前的杀毒软件已经完全能够维持好一个相对安全的网络环境。
jefffire
头像被屏蔽
发表于 2017-2-5 09:51:54 | 显示全部楼层
仿真成本太高了。找一个缺点只需几天,补一个缺陷需要几周几个月。

云端分析,对抗起来也不是很难。只要分析一下IP地址 不符合要求的不执行后续步骤 云端就分析有困难了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 22:49 , Processed in 0.098623 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表