楼主: B100D1E55
收起左侧

[分享] 绕过动态启发之Microsoft篇

  [复制链接]
B100D1E55
 楼主| 发表于 2017-2-9 11:31:42 | 显示全部楼层
linzh 发表于 2017-2-9 11:26
话说全程除了这叁其他全部哑火?

这文件本身无害,要是启发引擎行为打分能报这个的话就恐怖了,微软那个大概是释放后静态特征才报的,比较特别。
houtiancheng
发表于 2017-2-9 11:32:41 | 显示全部楼层
linzh 发表于 2017-2-9 11:26
话说全程除了这叁其他全部哑火?

我也想知道……
B100D1E55
 楼主| 发表于 2017-2-9 11:33:52 | 显示全部楼层
清道夫900 发表于 2017-2-9 10:52
又来了一个大牛。高就哪个安全公司啊?

并不是做这个方向的……真安全专家的测试方法肯定比我这土法要好10倍
灭灭之痕
发表于 2017-2-9 11:33:57 | 显示全部楼层
好文啊!这次的分析真心有点刺耳啊,简单的方式就能绕过WD的话,说明问题很严重啊,现在用Win10很多人都不装第三方杀毒软件(之前新闻有一个Firefox的前开发者也说推崇WD,不用第三方),结果看来WD还是有点菜……
我记得以前说道动态启发必然说ESET,08年左右吧,那时候红伞和ESET是AV-Comparatives的启发测试双壁(基本前二并且前二能拉第三一个档次),那时候很多人说ESET的方案相比红伞的静态更好一些,最大的特点是误杀“相对”少(不过记得仅AV-Comparatives的测试来说的确很少)。

红伞的对于其AHeAD技术的说明:On the basis of the composition of a file, the sequence of significant code sequences or based on particular behaviour patterns, the heuristics can determine with a very high probability whether it is dealing with a harmful or virulent file.

Nod32的对于TS技术的说明:ESET NOD32 的 ThreatSense 防毒引擎里除了具备普遍特征检测外,亦加入了更卓越的先进启发式技术 (Advanced Heuristics Technology),有效防止新变种的蠕虫与病毒入侵。该技术是一种主动式防护(Proactive Protection) 技术,它辨别病毒的方法并非依靠任何特征数据库,而是在档案扫描时主动地拆解与分析档案的执行码,并在虚拟的仿真系统环境里执行它,以观察是否包含任何具危险性的恶意行为。

但是后来有人提及静态启发虽然有天花板,但是是很明显“够用”的技术,并且随着反汇编技术改进和病毒库的扩大,天花板可能会提升,即使在受限的环境下依然可以良好运行,动态启发最大的问题就是“理想丰满现实骨感”,受限于已有的设备条件和效率要求,所谓的“仿真模拟”是非常有限的,甚至只能说是基础而蹩脚的仿真而已,而且为了提高扫描的速率要求厂商各种揠苗助长。不过倒是的确没有想到,过了这么长时间,这个问题的解决还是不够。那个xsleep真是服了……
感觉没有主防的确是不行。动态启发在查杀上的优势未必能胜过静态启发(最突出的改进其实是误报),希望更安全,还得靠主防。
咨询一下楼主,杀毒软件扫描的时候,是否是先完成特征码比对之后再调用启发?调用条件是什么,是没有毒就调用启发确认,还是说有一个“预判”什么的过程?

评分

参与人数 1经验 +20 人气 +1 收起 理由
屁颠屁颠 + 20 + 1 版区有你更精彩: )

查看全部评分

驭龙
发表于 2017-2-9 11:40:40 | 显示全部楼层
B100D1E55 发表于 2017-2-9 11:30
自然是考虑过这种可能性……不过如果纯静态的话,计数器大法肯定也要跪,我这里特征是明文嵌入的。可见M$ ...

嗯,这到有可能,MA的仿真环境用的是XP SP2,因此仿真速度真的是很差,哈。

而且MA 的策略很奇怪,达到某些特殊条件,特征就不会报,这也是无法理解的情况了。

说实话,在这些本地反病毒引擎中,我看WD的引擎已经是中上等了,可惜的是特征策略和查杀策略导致查杀效果差,哈哈
B100D1E55
 楼主| 发表于 2017-2-9 11:42:42 | 显示全部楼层

我在传VT测的时候的确折腾出过一个卡巴报HEUR的样本,有空看看能不能基于那个版本修改一下测测
B100D1E55
 楼主| 发表于 2017-2-9 11:43:34 | 显示全部楼层

有空看看吧,不知道能不能构造的出来
B100D1E55
 楼主| 发表于 2017-2-9 11:43:57 | 显示全部楼层

见你楼上
B100D1E55
 楼主| 发表于 2017-2-9 11:46:39 | 显示全部楼层
驭龙 发表于 2017-2-9 11:40
嗯,这到有可能,MA的仿真环境用的是XP SP2,因此仿真速度真的是很差,哈。

而且MA 的策略很奇怪,达 ...


吼吼,有点好奇SP2这个小道消息是哪打听来的……话说我对这个测试的解读也有可能有误,毕竟我们只能做到黑盒测试,如果你有发现什么不妨发出来分享一下
我对WD最大不满是卡exe,如果一个文件夹有很多exe,explorer打开的时候卡成狗……我在想为什么他们不搞个缓存机制,火绒扫描更慢,人家至少懂得缓存一下
B100D1E55
 楼主| 发表于 2017-2-9 11:52:27 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-2-9 12:01 编辑
灭灭之痕 发表于 2017-2-9 11:33
好文啊!这次的分析真心有点刺耳啊,简单的方式就能绕过WD的话,说明问题很严重啊,现在用Win10很多人都不 ...


很正常,专家发表跨领域的言论其实往往没什么可信度,更何况有的人只是发推吐槽一下就被媒体当正式言论吹出去了,也很冤啊

红伞我真没研究过,但ESET几年前转二进制翻译仿真后效率肯定会高很多,我怀疑这里微软的引擎甚至还是一个基于interpreter的引擎,不然速度不可能这么悲催还这么卡。而且其实我怀疑ESET有很多是静态匹配,但并不是传统的sequence匹配,而是对解析出来的指令扫描后分析实际行为打分的判识(例如instrumentation,这种技术在一些处理器架构仿真中也开始使用了)。这点从它的AMS系统也可以看出来——内存扫描的时候显然不可能进行仿真分析。而如果ESET想最大限度复用它的主要扫描检测技术,那么主要检测的技术肯定也有很大一部分是基于静态裸代码启发的

至于特征码比对和启发的优先顺序,很抱歉我也不是业内人士。但预判过程我猜是有的,例如异常PE头可能就倾向于动态启发,毕竟一般这意味着混淆过。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 23:27 , Processed in 0.098882 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表