楼主: Nocria
收起左侧

[讨论] 请问 F-PROT 这个杀毒软件现在是个什么状态?

[复制链接]
DF快递
发表于 2017-10-31 17:34:27 | 显示全部楼层
我能说avast的报毒名大多是 win32 吗
ELOHIM
发表于 2017-10-31 17:52:14 | 显示全部楼层
没有用过这个软件。
Cyren is leading a revolution in internet security by utilizing extensive cloud intelligence to provide the fastest protection available. Industry leaders such as Google, Microsoft, and Check Point trust Cyren to secure millions of users and billions of daily internet transactions.

© Cyren 2017. All trade/service marks or names referenced on this site belong to their respective owners. The information contained herein is subject to change without notice.
Nocria
 楼主| 发表于 2017-10-31 18:07:11 | 显示全部楼层
Dust-;羅錠 发表于 2017-10-31 17:25
样本区最新的那个精睿样本包就有很多与BD重名的,我印象太深刻了,是Trojan.GenericKD.一串数字,显然是B ...

已经向官方发了个邮件问了这个问题,并注明希望能够在不触及商业机密的前提下得到回复。
等等看是否会收到回信吧。

评分

参与人数 1人气 +1 收起 理由
Dust-;羅錠 + 1 版区有你更精彩: )

查看全部评分

Nocria
 楼主| 发表于 2017-10-31 18:09:56 | 显示全部楼层
ELOHIM 发表于 2017-10-31 17:52
没有用过这个软件。

感谢。
ELOHIM
发表于 2017-10-31 18:11:54 | 显示全部楼层

不用客气,在这个网站找到一个DNS测试,正好可以测试一下防火墙了。
B100D1E55
发表于 2017-11-1 11:23:41 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-11-1 11:33 编辑
bbs2811125 发表于 2017-10-31 17:00
的确是的,启发现在已经属于一个相对过时的技术了。不管是哪家的启发都必须不断更新自己引擎中的基因来适 ...

启发本意是通过一些有限的规则和信息来获得接近最优解的结果。例如病毒判定本来是图灵机不可解问题,但启发通过一些规则将这个超出计算机计算能力的东西“化归”为复杂度实惠的算法。因此无论是动态行为还是静态特征,都可以有启发一说。
我认为启发完全不过时,只不过在性能有限的前提下传统意义下的启发的基底(即脱壳、二进制转码等)的局限性较大,没法长时间跑一个程序,对APT比较无奈。一些基于行为的主防只不过是在传统启发的基地(沙盒)上进行一些延伸,仍旧是基于规则。总体来说我认为大厂商之所以还坚守启发可能主要是因为其可控性。现阶段一些机器学习算法背后的原理和理论基石尚需要发展,传统一些手段更可靠。此外,启发规则也不是一些白皮书举得例子那么简单,很多复杂的算法早已融入其中,并不是想黑盒逆向出报毒依据就能轻松逆向的。

ESET在提及新生检测手段的时候就提到很重要的一点:
Machine learning algorithms do not understand data and even if information is statistically correct that does not mean it is valid.

这就类似相关性和因果性的关系一样,相关性高不代表就有因果,统计上大多病毒常见某个结构异常,不一定就代表这个结构异常的文件就一定是病毒。是否有因果终究需要人工来判断,可能有人一听到“人工”就觉得没意思了,但现实就是这么残酷。启发还是统计侦测很大程度上是个设计哲学问题,没有绝对的对错。况且很多“传统”厂商背地里也在用各种统计手段,只不过出于各种原因他们不敢拿出来骚扰普通用户

评分

参与人数 1人气 +1 收起 理由
Dust-;羅錠 + 1 版区有你更精彩: )

查看全部评分

cloud01
头像被屏蔽
发表于 2017-11-1 11:43:31 | 显示全部楼层
B100D1E55 发表于 2017-11-1 11:23
启发本意是通过一些有限的规则和信息来获得接近最优解的结果。例如病毒判定本来是图灵机不可解问题,但启 ...

精彩 ,启发的理论和主防理论应该很一致,只不过一个是先跑一遍看看,一个是边跑边看的感觉。卡巴要是没有回滚,也就是不敢让病毒走到最后一步,主防的判断也不会太准吧。相反,eset如果不是为了控制误报,启发查杀率应该还能更高吧。
B100D1E55
发表于 2017-11-1 11:52:03 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-11-1 11:56 编辑
cloud01 发表于 2017-11-1 11:43
精彩 ,启发的理论和主防理论应该很一致,只不过一个是先跑一遍看看,一个是边跑边看的感觉。卡巴要是没 ...

这种东西,顶尖的实力相当的企业若做到极致效果都差不多。只不过由于设计理念和公司具体情况不同可能会有些区别(比如人肉分析资源的多少、客户端传感器部署的多少)。很多所谓“针对启发”实际上是针对启发的基底,比如拖累脱壳速度,让虚拟机超时之类的。具体一些行为想绕过需要下一些功夫,如果更多启发规则部署在云端,就更难逃逸。这也是为什么现在不少厂商喜欢搞云鉴定,本地搞一个小模型,云搞一个大模型。这除了性能考量之外,还有可能是因为不想让一些检测技术“见光”。云某种程度缓解了杀软信息上的绝对劣势(即早年杀软在明,病毒在暗,容易针对的囧境)

当然,行为规则启发问题多着呢。喜欢玩沙盘同学估计都能发现,正常安装包会有很多“高危行为”,真要按简单行为规则记分启发早就大乱了。反过来病毒也并不都长得古怪,否则CCleaner早就被看长相的那些引擎检出了(说实话就算检出,也会混在一堆其他的误报当中)现在的科技完全依赖机器终究是不可能的。很多灰色行为,就算完全分析出来也不知道是好还是不好,甚至需要判断开发者的本意(以及被恶意利用的风险),这早就超出机器的世界了,人都不一定搞得清楚。
bbs2811125
发表于 2017-11-1 11:55:35 | 显示全部楼层
B100D1E55 发表于 2017-11-1 11:23
启发本意是通过一些有限的规则和信息来获得接近最优解的结果。例如病毒判定本来是图灵机不可解问题,但启 ...

但是目前来看启发受制于更新过于严重,如果没法突破壁垒就意味着他能达到的上限也就仅限于此
对于机器学习,我虽然不做病毒识别但本身也会用到相关的方法。以我对这种方法的理解和认知上,要做到低误判尤其是对未知样本的正确分类难度是相当高的。因为这些方法里边都会有置信度、相对误差等等的容错率概念,也就意味着传统入库方式能够达到的几近满分的正确分类在机器学习上要付出的代价很大,而且还往往达不到。
回到人工判定的话题,无论是机器学习也好文件信誉也罢,最终落实到判据上都是人工进行划界的,所以不管什么天花乱坠的技术都无法脱离最后的“人工”。只不过在相对成熟的体系里边可以起到最大程度地替代作用罢了。
B100D1E55
发表于 2017-11-1 12:00:22 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-11-1 12:09 编辑
bbs2811125 发表于 2017-11-1 11:55
但是目前来看启发受制于更新过于严重,如果没法突破壁垒就意味着他能达到的上限也就仅限于此
对于机器学 ...

机器学习引擎(特指静态统计引擎)如果像现在的传统引擎下放到本地,我相信也不会比传统引擎好到哪里去,这点时间会证明。现在机器学习引擎报毒早只不过是针对免杀没价值,而且他们自己误报高,社工搞一搞就绕过了。
现阶段科技决定了杀软不更新是不可能的,敢说“无需频繁更新”的基本都是耍流氓行为。而事实是,那些喊着不需频繁更新的都忙着接云,比如C姓杀软,还搞hash拉黑,真是囧囧囧啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-29 18:56 , Processed in 0.103829 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表