楼主: B100D1E55
收起左侧

[分享] 动态启发逃逸大法

  [复制链接]
灭灭之痕
发表于 2017-2-5 11:09:35 | 显示全部楼层
柯林 发表于 2017-2-5 10:57
不用启发,直接运行判定,提取特征即可。按照非白即黑模式,简单粗暴有效——不认识的先阻止了再说,等云 ...

的确如此,安软因为其社会地位使然,会尽可能寻求更大更强的计算能力来满足本地性能的不足,这种优势让很多病毒编写人员无可奈何。似乎近年来免杀传播不大(尤记曾经的AV终结者,虽然貌似也不是通用免杀),可能也是因为这个原因:免杀的存活时间太短,而且安软的防控系统今非昔比,在某种程度上很少有人愿意一心去开发高级免杀,即使是开发出来了,可能也只是针对性的。
但是你说的直接阻止有点难,毕竟可能是正常而小众的程序,甚至是个人自己编写的(曾经avast老是把我自己编译的小程序入沙,一度搞得我莫名其妙),这样导致的问题会很多(对于普通用户还好,如果是一些互联网企业什么的维护不佳,影响公司生产力)。对于很多人来说,漏杀严重性远远不如误杀……
柯林
发表于 2017-2-5 11:12:30 | 显示全部楼层
B100D1E55 发表于 2017-2-5 11:06
滞后用户运行时间的想法是很美好……但是自动机提取的特征广谱性不够的话,自变形恶意程序也可以自动化产 ...

严格白名单判定就解决了:你是白名单吗?是非常肯定的白名单吗?是有大厂信誉的白名单吗?三大条件缺一,弹窗提示用户,该程序极端不可靠,有高风险,小白看到就点阻止了,作死的非要点放行,后续与你无关了
柯林
发表于 2017-2-5 11:14:04 | 显示全部楼层
天剑 发表于 2017-2-5 11:05
说不定周总,马总,李总的电脑都是肉鸡。。。。

windows这种大筛子,真的说不清谁是肉谁是鸡,也许一切看天意与人品,平常感觉不出来也就当它安全好了
B100D1E55
 楼主| 发表于 2017-2-5 11:16:01 | 显示全部楼层
柯林 发表于 2017-2-5 11:12
严格白名单判定就解决了:你是白名单吗?是非常肯定的白名单吗?是有大厂信誉的白名单吗?三大条件缺一, ...

这里讲的不是白名单漏洞的问题,而是用户有耐心等多久的问题。我觉得avast运行前15秒分析已经够蛋疼了,而云的鉴定会更慢。单个程序的云鉴定时间不会因为在超算上跑就快起来,和个人电脑跑鉴定的速度差别不大
灭灭之痕
发表于 2017-2-5 11:25:09 | 显示全部楼层
B100D1E55 发表于 2017-2-5 01:13
我也不了解,以下只是猜的,有可能有错:

恶意程序判别的核心在于和正常文件区分开来,这可以是行为 ...

多谢您的介绍,感觉这个方案好熟悉啊,之前看红伞一篇文章的时候(文章名称是《Speeding up k-means via blockification》),感觉里面说的k-means算法和这个很相似啊(不过个人对于这个也不是太了解)。
按照我的理解,在高维线性空间内,通过这种方式划分的“区域”应该会有一个几何中心点,判断落在哪个区域应该是根据同各特定区域的几何中心点的向量距离来确定的吧(或者用一堆不等式)?这样感觉的确会有误报,因为各个“区域”的“边界”可以说是人为规定的,如果训练集越大,那么这个边界就越明确,否则可能就会同时出现误报和漏杀。你说他们还是依据特征的,而不是行为的,这个我觉得是不是可以作为补充(将特征划分的向量空间和用行为划分的向量空间组合起来)?
个人浅见,理解有错麻烦指出。
灭灭之痕
发表于 2017-2-5 11:29:53 | 显示全部楼层
柯林 发表于 2017-2-5 11:12
严格白名单判定就解决了:你是白名单吗?是非常肯定的白名单吗?是有大厂信誉的白名单吗?三大条件缺一, ...

超级计算机的优势是没有性能瓶颈,但是应该没法加速判断,要是某个病毒用楼主提及的延时方案,延时个一整天,岂不是照样绕过去……
而且白名单最大的特点就是很难照顾新出现的程序(正常的新编写的程序),某些软件开发商调试系统的时候被安软给阻止了岂不是很尴尬……
柯林
发表于 2017-2-5 11:47:34 | 显示全部楼层
灭灭之痕 发表于 2017-2-5 11:29
超级计算机的优势是没有性能瓶颈,但是应该没法加速判断,要是某个病毒用楼主提及的延时方案,延时个一整 ...

那是不可能的,超算的分析能力,一分钟分析一亿个小程序,根本不是什么问题
柯林
发表于 2017-2-5 11:52:14 | 显示全部楼层
灭灭之痕 发表于 2017-2-5 11:09
的确如此,安软因为其社会地位使然,会尽可能寻求更大更强的计算能力来满足本地性能的不足,这种优势让很 ...

这个,就看自动化程序编写者的水平与努力程度了
曾几何时,围棋作为人类智力尊严的挡箭牌,被举得高高的——按照过往经验,要分析围棋这种东西,只有靠人工,机器是不要想的。结果,阿尔法狗蹦出来,啪啪两巴掌,拍得体无完肤

so,同样的道理,现在还侧重于人工分析,只能说明意识落后,努力不够。将来的世界,谁先做出杀软界的阿尔法狗,谁就是将来安全市场的独孤求败。
灭灭之痕
发表于 2017-2-5 11:56:23 | 显示全部楼层
柯林 发表于 2017-2-5 11:47
那是不可能的,超算的分析能力,一分钟分析一亿个小程序,根本不是什么问题

倒不是说分析能力不足,而是仿真能否加速的问题。就好比我一个病毒就是要运行一天才能其作用,假定特征码是未知的情况下,超级计算机也需要通过启发的方式来分析,进入启发的虚拟机之后,也要等上一整天啊,因为瓶颈不是性能,而是程序本身的执行方式……从这个角度来说,还是主防比较有谱一些……
话说回来,我不知道这些超级计算机给每个企业单位的租期有多长,会不会有些企业是用分布式系统在代替超级计算机……
灭灭之痕
发表于 2017-2-5 12:03:54 | 显示全部楼层
柯林 发表于 2017-2-5 11:52
这个,就看自动化程序编写者的水平与努力程度了
曾几何时,围棋作为人类智力尊严的挡箭牌,被举得高高的 ...

其实个人感觉阿尔法狗真正超出人类智力的核心不是别的,就是速度,速度足够快了,再笨的搜索也能找到可能性……人类的智力一直都不是仅仅凭借速度的……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:49 , Processed in 0.094742 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表