楼主: B100D1E55
收起左侧

[技术原创] 嗅探Microsoft的病毒扫描引擎

  [复制链接]
jefffire
头像被屏蔽
发表于 2017-2-10 10:45:01 | 显示全部楼层
驭龙 发表于 2017-2-10 10:41
我说过吧,微软的VFS已经是八年前的老技术了

我想根本适应不了现在的环境,另外虚拟环境分析的时候,会 ...

看文章不仔细哟 LZ两个都测了
驭龙
发表于 2017-2-10 10:49:39 | 显示全部楼层
jefffire 发表于 2017-2-10 10:45
看文章不仔细哟 LZ两个都测了

楼主这个最后一张图是本地,但我还是想确认一下,因为MA引擎中没有这个用户名的串符,VFS数据中也没有,所以我想确认一下楼主的测试具体情况

其实我觉得如果不用EICAR代码测试,那会更有说服力,因为这个代码不是真的病毒

评分

参与人数 1人气 +1 收起 理由
月影天心 + 1 版区有你更精彩: )

查看全部评分

B100D1E55
 楼主| 发表于 2017-2-10 11:18:11 | 显示全部楼层
驭龙 发表于 2017-2-10 10:49
楼主这个最后一张图是本地,但我还是想确认一下,因为MA引擎中没有这个用户名的串符,VFS数据中也没有, ...

测试环境:virtualbox装了新的14393,然后关掉defender实时防御,从外面拖进来待测样本进行手动扫描。

EICAR作为标准的测试文件,杀软对待它要像对待真实恶意软件一样,不然也不会被纳为测试标准。而WD的引擎对动态启发释放的文件进行了静态匹配,其他引擎都没这么做,所以这个程序刚好可以测WD。其实不考虑性能问题静态匹配无可厚非,但刚好给外人一个可乘之机来轻松构造我这样的样本,从而判断虚拟机黑盒内是否跑了那串释放文件的代码。其实我把EICAR换成微软能静扫的shellcode估计结果也是一样的
B100D1E55
 楼主| 发表于 2017-2-10 11:22:25 | 显示全部楼层
houtiancheng 发表于 2017-2-10 09:39
楼主你这是要打微软脸啊~
搞得我对WD的信心一下子弱了好多啊

也不想说WD什么坏话。但天天叫嚣WD对大多人都够用,WD技术跟主流大厂势均力敌的童鞋……是不是自己应该先求证一下再这么说呢
驭龙
发表于 2017-2-10 11:23:33 | 显示全部楼层
B100D1E55 发表于 2017-2-10 11:18
测试环境:virtualbox装了新的14393,然后关掉defender实时防御,从外面拖进来待测样本进行手动扫描。

...

感谢提供详细信息

我并没有别的意思,只是确认一下而已,因为我也喜欢关注WD的情况

其实我昨天说过,这个EICAR检测代码是在WD的反病毒引擎中,也就是说WD对检测这段代码,是有他特别待遇的
月影天心
发表于 2017-2-10 11:26:48 | 显示全部楼层
本帖最后由 月影天心 于 2017-2-10 11:36 编辑
B100D1E55 发表于 2017-2-10 11:22
也不想说WD什么坏话。但天天叫嚣WD对大多人都够用,WD技术跟主流大厂势均力敌的童鞋……是不是自己应该先 ...


然而事实是在日常情况下,WD辅以Win10的一众安全技术确实够用了
且不论WD到底与第三方商业化产品有多大差距,很多第三方杀软在引擎构架上可能还不如WD,现实就是,Win10中使用WD足以应对日常安全需求,不要说WD功能残缺,也不要说WD既有引擎技术多么多么局限,微软不可能把WD发展成为功能齐全的世界级杀软品牌,WD永远都是定位于保障基础安全的Basic protection,在新的WD安全中心里,微软也只是整合了Win10下的各类安全功能,并没有为WD增加额外的新功能,只是在已有引擎技术的基础上不断完善改进,其实近年来微软受制于WD的定位,还是做了很多努力,拉黑大法也好,动静态启发也好,新的UI整合也好,WD的定位不会改变,现在是这样,将来依然如此
B100D1E55
 楼主| 发表于 2017-2-10 11:27:54 | 显示全部楼层
驭龙 发表于 2017-2-10 11:23
感谢提供详细信息

我并没有别的意思,只是确认一下而已,因为我也喜欢关注WD的情况

有人提出合理质疑是好事~我本身也不是这个专业的,理解肯定是有局限

EICAR在几乎所有反病毒引擎中都有定义,不然VB100就跪了。WD动态启发策略比较特殊所以这个测试刚好测了WD,也算是意料之外的发现
驭龙
发表于 2017-2-10 11:32:50 | 显示全部楼层
本帖最后由 驭龙 于 2017-2-10 11:51 编辑
B100D1E55 发表于 2017-2-10 11:27
有人提出合理质疑是好事~我本身也不是这个专业的,理解肯定是有局限

EICAR在几乎所有反病毒引擎中都有 ...


不一样的,在其他安全软件中EICAR特征是在特征码定义中,引擎负责调用特征库中的特征码定义匹配威胁,而WD并不是把EICAR特征全部放在特征库中,而是放在引擎本身的架构中,所以WD检测EICAR的效果是不一样的。
B100D1E55
 楼主| 发表于 2017-2-10 11:34:19 | 显示全部楼层
月影天心 发表于 2017-2-10 11:26
然而事实是在日常情况下,WD辅以Win10的一众安全技术确实够用了
且不论WD到底与第三方商业化产品有多 ...

不知道“够用”是什么概念。在我看来日常连cerber之流都防不了的难以称作“够用”,而win10一众安全技术大概除了实用性极低的smartscreen禁运外其他在这种情况下也没什么用。至于“引擎构架上可能还不如WD”这种论调是要拿出具体证据的。
拉黑并没有那么有效,cerber这种一小时一更的东西拉黑前说不定都已经过期了。
B100D1E55
 楼主| 发表于 2017-2-10 11:35:44 | 显示全部楼层
驭龙 发表于 2017-2-10 11:32
不一样的,在其他安全软件中EICAR特征是在特征码定义中,引擎负责调用特征库中的特征码定义匹配威胁,而W ...

有相关来源么
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:59 , Processed in 0.094702 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表