绕过动态启发之Microsoft篇

B100D1E55

linzh 发表于 2017-2-9 11:26
话说全程除了这叁其他全部哑火？

这文件本身无害，要是启发引擎行为打分能报这个的话就恐怖了，微软那个大概是释放后静态特征才报的，比较特别。

houtiancheng

linzh 发表于 2017-2-9 11:26
话说全程除了这叁其他全部哑火？

我也想知道……

B100D1E55

清道夫900 发表于 2017-2-9 10:52
又来了一个大牛。高就哪个安全公司啊？

并不是做这个方向的……真安全专家的测试方法肯定比我这土法要好10倍

灭灭之痕

好文啊！这次的分析真心有点刺耳啊，简单的方式就能绕过WD的话，说明问题很严重啊，现在用Win10很多人都不装第三方杀毒软件（之前新闻有一个Firefox的前开发者也说推崇WD，不用第三方），结果看来WD还是有点菜……
我记得以前说道动态启发必然说ESET，08年左右吧，那时候红伞和ESET是AV-Comparatives的启发测试双壁（基本前二并且前二能拉第三一个档次），那时候很多人说ESET的方案相比红伞的静态更好一些，最大的特点是误杀“相对”少（不过记得仅AV-Comparatives的测试来说的确很少）。

红伞的对于其AHeAD技术的说明：On the basis of the composition of a file, the sequence of significant code sequences or based on particular behaviour patterns, the heuristics can determine with a very high probability whether it is dealing with a harmful or virulent file.

Nod32的对于TS技术的说明：ESET NOD32 的 ThreatSense 防毒引擎里除了具备普遍特征检测外，亦加入了更卓越的先进启发式技术 (Advanced Heuristics Technology)，有效防止新变种的蠕虫与病毒入侵。该技术是一种主动式防护(Proactive Protection) 技术，它辨别病毒的方法并非依靠任何特征数据库，而是在档案扫描时主动地拆解与分析档案的执行码，并在虚拟的仿真系统环境里执行它，以观察是否包含任何具危险性的恶意行为。

但是后来有人提及静态启发虽然有天花板，但是是很明显“够用”的技术，并且随着反汇编技术改进和病毒库的扩大，天花板可能会提升，即使在受限的环境下依然可以良好运行，动态启发最大的问题就是“理想丰满现实骨感”，受限于已有的设备条件和效率要求，所谓的“仿真模拟”是非常有限的，甚至只能说是基础而蹩脚的仿真而已，而且为了提高扫描的速率要求厂商各种揠苗助长。不过倒是的确没有想到，过了这么长时间，这个问题的解决还是不够。那个xsleep真是服了……
感觉没有主防的确是不行。动态启发在查杀上的优势未必能胜过静态启发（最突出的改进其实是误报），希望更安全，还得靠主防。
咨询一下楼主，杀毒软件扫描的时候，是否是先完成特征码比对之后再调用启发？调用条件是什么，是没有毒就调用启发确认，还是说有一个“预判”什么的过程？

驭龙

B100D1E55 发表于 2017-2-9 11:30
自然是考虑过这种可能性……不过如果纯静态的话，计数器大法肯定也要跪，我这里特征是明文嵌入的。可见M$ ...

嗯，这到有可能，MA的仿真环境用的是XP SP2，因此仿真速度真的是很差，哈。

而且MA 的策略很奇怪，达到某些特殊条件，特征就不会报，这也是无法理解的情况了。

说实话，在这些本地反病毒引擎中，我看WD的引擎已经是中上等了，可惜的是特征策略和查杀策略导致查杀效果差，哈哈

B100D1E55

pal家族 发表于 2017-2-9 10:47
求出卡巴篇

我在传VT测的时候的确折腾出过一个卡巴报HEUR的样本，有空看看能不能基于那个版本修改一下测测

B100D1E55

流水寒丶 发表于 2017-2-9 10:49
求出PANDA篇

有空看看吧，不知道能不能构造的出来

B100D1E55

houtiancheng 发表于 2017-2-9 11:32
我也想知道……

见你楼上

B100D1E55

驭龙 发表于 2017-2-9 11:40
嗯，这到有可能，MA的仿真环境用的是XP SP2，因此仿真速度真的是很差，哈。

而且MA 的策略很奇怪，达 ...

吼吼，有点好奇SP2这个小道消息是哪打听来的……话说我对这个测试的解读也有可能有误，毕竟我们只能做到黑盒测试，如果你有发现什么不妨发出来分享一下
我对WD最大不满是卡exe，如果一个文件夹有很多exe，explorer打开的时候卡成狗……我在想为什么他们不搞个缓存机制，火绒扫描更慢，人家至少懂得缓存一下

B100D1E55

灭灭之痕 发表于 2017-2-9 11:33
好文啊！这次的分析真心有点刺耳啊，简单的方式就能绕过WD的话，说明问题很严重啊，现在用Win10很多人都不 ...

很正常，专家发表跨领域的言论其实往往没什么可信度，更何况有的人只是发推吐槽一下就被媒体当正式言论吹出去了，也很冤啊

红伞我真没研究过，但ESET几年前转二进制翻译仿真后效率肯定会高很多，我怀疑这里微软的引擎甚至还是一个基于interpreter的引擎，不然速度不可能这么悲催还这么卡。而且其实我怀疑ESET有很多是静态匹配，但并不是传统的sequence匹配，而是对解析出来的指令扫描后分析实际行为打分的判识（例如instrumentation，这种技术在一些处理器架构仿真中也开始使用了）。这点从它的AMS系统也可以看出来——内存扫描的时候显然不可能进行仿真分析。而如果ESET想最大限度复用它的主要扫描检测技术，那么主要检测的技术肯定也有很大一部分是基于静态裸代码启发的

至于特征码比对和启发的优先顺序，很抱歉我也不是业内人士。但预判过程我猜是有的，例如异常PE头可能就倾向于动态启发，毕竟一般这意味着混淆过。