楼主: B100D1E55
收起左侧

[分享] 从简单案例看多层防御的重要性

  [复制链接]
B100D1E55
 楼主| 发表于 2017-11-23 22:44:12 | 显示全部楼层
iamLMH 发表于 2017-11-23 13:05
像素那里其实可以用相近的像素点进行矩阵卷积近似还原,不过普通人也不会纠结这些。。
大神的知识面真的好 ...

这种预处理我也想过隐写方法太多了,而且bmp文件格式单纯做起来很方便

自己写个工具把代码分拆一下应该也不错,估计可以抵抗熵值检测
B100D1E55
 楼主| 发表于 2017-11-23 22:46:45 | 显示全部楼层
pal家族 发表于 2017-11-23 14:37
这篇文件的点击率保证---个中缘由,就这么被省略了。

提前打好防口水补丁

在没有确凿统计数据前我会保持缄默

评分

参与人数 1人气 +1 收起 理由
pal家族 + 1 很 不 给力!

查看全部评分

B100D1E55
 楼主| 发表于 2017-11-23 22:55:07 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-11-23 22:56 编辑
KK院长 发表于 2017-11-23 15:22
我记的 以前有 bmp文件中有嵌入代码的木马的, 一般杀软 为安全 .
收一个 图片死一个 ...

终于看到有人吐槽原谅鸭了!
普通安软主要用来防大规模非针对性的攻击,超出这个界限对(自动化高的)安软有所期待就不是很实际了

做安软既困难又简单。前者是因为想做好真的需要大量人力物力,后者是因为大多用户没法直观看到一些安软检测的水平,很多情况下更倾向于相信营销吹水公关文还没法亲自验证,因此厂商想给用户营造一种“你在我保护下很安全”的错觉不算太难
B100D1E55
 楼主| 发表于 2017-11-23 22:59:18 | 显示全部楼层
tihs 发表于 2017-11-23 18:08
不懂技术的膜拜下技术帝!!
不知道这种技术类型的恶意软件那些个主流“主防”能否防御?例如卡巴PDM、Son ...

这技术算很常见的,主流安软应该都有对应处理。不过Sonar这种预执行沙盘不好说,延时大法或许可以简单绕过。我主楼的这个程序在VT上虽然报毒很少,但实际运行可能会被不少杀软拦截,或者至少自动上报
jmkbird
发表于 2017-11-23 23:01:47 | 显示全部楼层
B100D1E55 发表于 2017-11-23 22:46
提前打好防口水补丁

在没有确凿统计数据前我会保持缄默

卡巴应该是足够认认真真扎实分析入库吧,不像大小A之流
B100D1E55
 楼主| 发表于 2017-11-23 23:02:18 | 显示全部楼层
cloud01 发表于 2017-11-23 22:00
其实ESET也是懒,只要在HIPS模块里内置对系统程序的注入和高危系统程序调用询问用户就OK了,再给个红色框 ...

我觉得ESET开发HIPS初衷基本是为了自保+内存监控+自动上报。除此之外的功能这么多年在用户友好度上都没见什么长进,无力吐槽。唯一看上去比较友好的是他们的APT检测系统,不过那又不是普通用户能用到的
B100D1E55
 楼主| 发表于 2017-11-23 23:05:16 | 显示全部楼层
jmkbird 发表于 2017-11-23 23:01
卡巴应该是足够认认真真扎实分析入库吧,不像大小A之流

从报毒名来看卡巴这方面做得比其他不少厂商来得好不少,毕竟人力物力摆在那里

此外很明显卡巴的检测系统有接入VT,而ESET很可能不接入
jmkbird
发表于 2017-11-23 23:08:24 | 显示全部楼层
B100D1E55 发表于 2017-11-23 23:05
从报毒名来看卡巴这方面做得比其他不少厂商来得好不少,毕竟人力物力摆在那里

此外很明显卡巴的检测系 ...

要说报毒名称我觉得ESET才是最好的,其次卡巴,再是大蜘蛛,别的都是会莫名其妙掺入一些数字啊之类的,搞得莫名其妙,有时候真为一些报毒名称都不愿意好好归档的安全单位担忧,以后做整合都头大,完全不知道怎么想的
HEMM
发表于 2017-11-23 23:19:18 | 显示全部楼层
cloud01 发表于 2017-11-23 22:00
其实ESET也是懒,只要在HIPS模块里内置对系统程序的注入和高危系统程序调用询问用户就OK了,再给个红色框 ...

啥?360?智能的.......为什么你要HIPS方向的走智能路线?
打磨机32并非要你依赖其HIPS,它还有不错的检测率和比较低的误报率以及高效率强势支撑,安全易用不烦人。
HIPS始终是高级用户的选择,你选择了HIPS,就必须依靠自己的知识量和经验累计进行分析判断,当然我素说的有点夸张啦,怕把想使用的人都吓死惹,反正.........嗯.........好运.........
我也搞不清楚自己的规则是闹那样,所以我关闭惹,靠心情写写画画为规则添色彩,靠冥想OOXX为生活添乐趣。写错了就写错了,反正是自己买单,完事!
反馈者
发表于 2017-11-24 04:26:37 | 显示全部楼层
B100D1E55 发表于 2017-11-23 23:05
从报毒名来看卡巴这方面做得比其他不少厂商来得好不少,毕竟人力物力摆在那里

此外很明显卡巴的检测系 ...

原来是这样
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 23:10 , Processed in 0.096640 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表