查看: 2917|回复: 1
收起左侧

[费尔] 分析费尔动态防御弹窗中级别评分的含义

[复制链接]
xu126yx
发表于 2017-7-18 11:56:13 | 显示全部楼层 |阅读模式
本帖最后由 xu126yx 于 2017-7-18 11:57 编辑

       大家用费尔时肯定注意过动态防御弹窗中"级别评分"的那一长串数字,LZ很好奇这些数字代表了什么含义,相信有很多小伙伴也是如此。对这个问题的探究,不光能让我们更了解费尔,还能让我们更好的理解主动防御的工作思路。下面LZ就根据观察提出自己的一些看法。
       动态防御评分总是由3部分组成,格式可写为A.B.C。其中,A部分是一个30以上的数字,但最多也就300左右;B部分是一个4-8位数的数串,有时出现字母;C部分是一个任意位数的数串,也可能出现字母,最常见的情况是15-16位,但9位、6位也常出现,甚至特殊情况下仅有1位。
       A部分的含义是最容易猜到的。通过观察可以发现,对于低危险程序,A部分在30左右;中危险程序,A在50左右;高危险程序,A在80以上。因此,A部分最大的可能是该程序恶意行为的评分,分数越大,表示费尔认为它有害的可能性越大。
       B部分和C部分的含义可能标示了该程序是否有某种恶意行为及严重的程度。其中,B部分是基础行为,C部分是高级行为。也就是说,费尔可能把一些判断价值比较大的行为(例如是否被云安全鉴定为有害程序)归为B部分评分,一些相对细枝末节的行为或者可供进一步判断的行为放在C部分。也就是说,B部分奠定了整个评分的"基调",C部分则进一步完善评分。
       对B和C两部分来说,位数越多,表明费尔为了判断它是恶意程序所做出的努力越大。如果某一位是"0",则表明费尔监测了程序的某种行为,但没有发现异常;如果某一位不是"0",则表明费尔监测了某种行为且确实发现了此种恶意行为,而具体的数字或字母则代表了某种严重程度,比如说某位d可能表示"名字非常像某种病毒",b可能表示"名字只是有病毒的嫌疑"(这个具体例子纯属YY)。官方曾给出的说明在一定程度上印证了这一点:
     “根据动态防御评分级别可以判断是否有文件名参与评分,动态防御显示的格式类似 47.13008900,可以从小数点后面倒数第三位的数字来判断,如果这个数是 1,3,5,7,9,b或d表示有名称参与评分,否则表示没有名称参与评分。”
       最后扯一点,一个特别有意思的现象就是B、C部分中每一位可能是0-9的数字或者a-f的字母。为什么不会有ghi之类的字母呢?我们知道,0-9加上a-f,是典型的16进制数特征,而计算机通常采用就是2的n次方进制的数,所以这个现象也就不难理解了。所以我们也可以说,B部分和C部分实际上各是一个16进制数。
--------------------------------------------------------------
       下面我们用上述猜测去分析一个实例。
       这里借用了某网友测试的费尔战WanaCrypt0r的结果,原帖见http://bbs.kafan.cn/thread-2089117-1-1.html
       当动态防御开高时,费尔在加密前就弹窗了,属于有效防御:

       分析:评分34.a008900.0表明,该程序的恶意行为评分为34,因此被归为低危险级别。B部分有7位,而C部分只有1位,这是非常少见的,说明高级行为部分只采用了一个监测点,且数字为"0"表示没监测到这种异常行为。这说明费尔基本上仅根据基础行为评分(B部分),就认定了它有害。更具体的来说,B部分的倒数第三位是"9",根据官方的说明可以推断WanaCrypt0r在运行时触发了名称判断规则。
       这个例子中,费尔仅仅在分析出病毒的基础行为时,就判断它有害并弹窗,看上去多少有点"草率",这也是费尔仅给出低危险级别的原因。但从事后结果来看,这种"先发制人"非常重要,因为它在病毒运行的早期就发现了,从而避免了用户文件遭加密的悲剧。
       当动态防御开到中时,费尔在加密后才弹窗,属于"马后炮"式的无效防御:

       分析:这次评分变成了64.a008900.2800004200001000,大家不妨和上面对比一下,可以看到B部分没变,而C部分从1位变成了16位。这说明费尔已经同时分析了样本的基础行为和大量高级行为,且C部分中有5个非"0"值表明与第一种情况相比病毒额外触发了5条规则,这也导致评分从34增加到64,危险级别提高到中级。在这里,费尔不那么"草率"了,但遗憾的是这恰恰是不对的,如果"草率"一些,用户的文件就能免遭毒手。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hup
发表于 2017-7-18 14:43:48 | 显示全部楼层
楼主很叼
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-29 09:49 , Processed in 0.130551 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表