Cylance v.s. ESET锁库测试（更新至11月??日）

fireherman

1011

SMPL

46

95.65%（93.48%）

41.30%

Cylance扫描漏3个，补杀1个衍生物（1 abnormal） ESET扫描漏40个，AMS补杀13个，HIPS杀12个

昨天怎么了？漏得很严重。

dwdcdwfd

大家好

wangkaka

B100D1E55 发表于 2017-10-11 23:39
人工提取特征如果做得好的话比机器自动归纳其实要有优势（至少现在是这么回事），很多厂商其实正是没有这 ...

人肉分析较好的厂商，他们的动静启发方面基本都比较好。

欧阳宣

bbs2811125 发表于 2017-10-12 16:58
http://bbs.kafan.cn/thread-2045486-1-1.html这个贴子的内容应该是比较详细的说明了，所有的文件都会在KSN ...

那还是有点小区别。APC包含实时判定而UDS只收集和推送判定结束后的结果。不过无关紧要了

B100D1E55

fireherman 发表于 2017-10-12 17:27
昨天怎么了？漏得很严重。

估计是各种威胁开始用新的混淆方法了，启发不出来。
不过我在实际跑双击的时候发现里面有一些毒hash不同但属于同一类，漏一个=漏好几个，所以下一期测试的时候会针对性剔除高度重复的样本

B100D1E55

欧阳宣 发表于 2017-10-13 03:37
那还是有点小区别。APC包含实时判定而UDS只收集和推送判定结束后的结果。不过无关紧要了

APC是不是和当年金山那个云鉴定差不多？就是先把hash传上去，如果hash不出来就上传样本让自动机判别？

B100D1E55

iamLMH 发表于 2017-10-12 15:41
大神您好，有事请教，(′･_･`)小白现在要做毕设，电脑上装着学校统一给的modelsim，还有统 ...

我觉得你这种情况难道不应该是强制沙盘吗？离线总会漏杀，虚拟环境恐怕更保险

B100D1E55

cloud01 发表于 2017-10-12 11:24
换成以前肯能可以达到，现在因为有了云和抗免杀，导致病毒更新也更快了，互相博弈中。其实eset的hips做做 ...

你反过来想……新毒如果不能至少做到表层免杀各种主流杀软的话是不会传播出来的，而刚好ESET这种不怎么靠行为杀，所以特征和混淆一旦混过去就基本畅通无阻了
从行为上判别恶意与否非常困难。你看看hybrid-analysis就知道了，里面很多样本如果被标记成“恶意”但是多引擎扫描报毒率很低，那么基本就是行为启发误报。这类沙盘一般就是先跑程序，导出syscall和对应行为，然后通过人工规则记分（例如反虚拟机属于高可疑，query CPUID属于中等可疑等等，最后加起来统分），但是很多正常程序也很容易命中大量规则……更复杂的统分模型（例如BD的记分板），或者挖掘行为前后关联（例如novashield）可能更准，但广谱度也相应下降。我觉得在这方面基础科学突破之前ESET大概是不怎么会搞比较大胆的行为防御了，不过至少它把定制权留给了用户。不知道他们现在有没有在HIPS上静默部署一些侦测机制，然后将未知程序的可疑行为上报给livegrid

B100D1E55

iamLMH 发表于 2017-10-12 15:41
大神您好，有事请教，(′･_･`)小白现在要做毕设，电脑上装着学校统一给的modelsim，还有统 ...

话说你们cadence是跑windows上的？

欧阳宣

B100D1E55 发表于 2017-10-15 05:50
APC是不是和当年金山那个云鉴定差不多？就是先把hash传上去，如果hash不出来就上传样本让自动机判别？

APC本地有个负责判断一个文件是不是要上传至云端的Local decider，具体机制未知，但是上传的是整个文件

但是只知道HEUR/APC只检测PE文件，像是一个不那么激进的cylance