查看: 5108|回复: 13
收起左侧

[分享] ESET报毒名里的秘密

[复制链接]
B100D1E55
发表于 2017-10-4 21:52:39 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2017-12-7 05:30 编辑

ESET PE报毒名中也有一些有意思的东西:

首先是最简单的特征报法,例如Win32/HackedApp.CCleaner.A。如果模拟代码执行后发现对应特征也会报特征特征中有一类特殊的是注入器报法(Injector.XXXX或者脚本Injector),主要是用来查杀运行恶意代码的媒介而非恶意代码本身
更常见的是混淆器报法(GenKryptik和Kryptik),这种是通过高级启发模拟代码运行后侦测到的。其中Kryptik是人工添加的特征,比较精确,而GenKryptik为自动机生成的特征,后续随着定义更新可能被Kryptik特征替代(例如我在测Cylance和ESET就发现有一些毒有这种现象)。感觉火绒报的obfuscator或者virtool也类似。这两种都是基于DNA/XDNA的特征侦测,其中DNA特征包含了程序syscall等的特征,而XDNA特征是程序模拟执行后显露的一些其他的元数据特征。这两种特征的设计是人工分析归纳出来的

混淆器的报法不揭示实际的毒名(实际运行可以是各种各样的威胁),我个人猜报混淆的原因是因为启发式扫描极短的运行时间往往很难展开实际的裸代码/行为,因此启发运行初期的混淆手段更加现实。而倘若有的混淆无法被这种启发侦测到,ESET还部署了高级内存扫描,即在宿主机器实际运行“去混淆”后在内存阶段侦测到具体威胁。因此高级内存扫描不报混淆器类别,而是实际毒名。

然后是通用报法(Generik),这种属于纯自动机侦测,比ESET基于DNA/XDNA的特征要“笨”一些,误报相对也高一些。我测试的时候剔除的误报大多都是Generik的报法,当然Generik报毒/误报很少见了。后续进一步分析后Generik报毒会被置信度更高/更聪明的特征取代。

最后就是Suspicious,即自动机异常侦测拉黑但尚未定性

最后的最后就是Beh家族,为HIPS的行为侦测

带有MSIL前缀的则说明是.NET运行时的PE文件

这些特征都有一些鲁棒性。当待测样本和病毒定义高度吻合(但有一些区别)的时候,就会报a variant of,即“XXX的变种”


从这里也可以看到ESET的侦测思路:从行为出发,展开恶意(混淆)行为才报毒。为此,从初期启发式到后期实际执行都部署了一定的侦测机制。这种模式下虽然面对一些威胁(混淆手段和恶意家族均未知的时候)可能无法提前侦测,而且需要收集并分析海量样本才能达到高侦测率,但是可以非常灵活地添加新的广谱侦测特征进行响应,同时有效控制误报。我觉得这比Cylance响应时的应急拉黑更有效一些



Jerry.Lin
发表于 2017-10-4 22:10:24 | 显示全部楼层
本帖最后由 191196846 于 2017-10-4 22:12 编辑

特地前来支持支持!
学习了
B100D1E55
 楼主| 发表于 2017-10-4 23:16:35 | 显示全部楼层
191196846 发表于 2017-10-4 22:10
特地前来支持支持!
学习了

稍微添补了一些内容完善了一下
lws6287
发表于 2017-10-9 10:47:22 | 显示全部楼层
学习
h4k
发表于 2017-10-9 20:21:27 | 显示全部楼层
eset报毒名算比较好理解的了,毛豆报的病毒名那叫个不知所云
fireherman
发表于 2017-10-9 20:31:59 | 显示全部楼层
本帖最后由 fireherman 于 2017-10-9 20:35 编辑



ESET对本页进行检查,侦测到页面已经被加载“恶”意代码:

报毒名:[Win64/B100D1E55.KaFan.AA] 潜在不安全的应用程序 的变种(PUA: Unsafe)

该病毒会对Suo属人Ti系统进行恶意ESET推广,危害你的身Ti健康;请立即清除。



B100D1E55
 楼主| 发表于 2017-10-9 21:08:22 | 显示全部楼层
fireherman 发表于 2017-10-9 20:31
ESET对本页进行检查,侦测到页面已经被加载“恶”意代码:

报毒名:[Win64/B100D1E55.KaFan.AA] 潜 ...

我赶快给自己套层混淆来躲避追杀
B100D1E55
 楼主| 发表于 2017-10-9 21:09:10 | 显示全部楼层
h4k 发表于 2017-10-9 20:21
eset报毒名算比较好理解的了,毛豆报的病毒名那叫个不知所云

报毒名和引擎靠谱度密切相关(虽然也有胡乱匹配毒名的那种)
fireherman
发表于 2017-10-9 21:18:10 | 显示全部楼层
B100D1E55 发表于 2017-10-9 21:08
我赶快给自己套层混淆来躲避追杀




套VMP强壳吧。(死得更快,ESET直接杀这个壳(报木马))

B100D1E55
 楼主| 发表于 2017-10-9 22:32:06 | 显示全部楼层
fireherman 发表于 2017-10-9 21:18
套VMP强壳吧。(死得更快,ESET直接杀这个壳(报木马))

不一定,我听说一般是杀破解壳,如果使用正版就没事了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 23:26 , Processed in 0.167650 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表