从简单案例看多层防御的重要性

B100D1E55

iamLMH 发表于 2017-11-23 13:05
像素那里其实可以用相近的像素点进行矩阵卷积近似还原，不过普通人也不会纠结这些。。
大神的知识面真的好 ...

这种预处理我也想过隐写方法太多了，而且bmp文件格式单纯做起来很方便

自己写个工具把代码分拆一下应该也不错，估计可以抵抗熵值检测

B100D1E55

pal家族 发表于 2017-11-23 14:37
这篇文件的点击率保证---个中缘由，就这么被省略了。

提前打好防口水补丁

在没有确凿统计数据前我会保持缄默

B100D1E55

KK院长 发表于 2017-11-23 15:22
我记的 以前有 bmp文件中有嵌入代码的木马的, 一般杀软 为安全 .
收一个 图片死一个 ...

终于看到有人吐槽原谅鸭了！
普通安软主要用来防大规模非针对性的攻击，超出这个界限对（自动化高的）安软有所期待就不是很实际了

做安软既困难又简单。前者是因为想做好真的需要大量人力物力，后者是因为大多用户没法直观看到一些安软检测的水平，很多情况下更倾向于相信营销吹水公关文还没法亲自验证，因此厂商想给用户营造一种“你在我保护下很安全”的错觉不算太难

B100D1E55

tihs 发表于 2017-11-23 18:08
不懂技术的膜拜下技术帝！！
不知道这种技术类型的恶意软件那些个主流“主防”能否防御？例如卡巴PDM、Son ...

这技术算很常见的，主流安软应该都有对应处理。不过Sonar这种预执行沙盘不好说，延时大法或许可以简单绕过。我主楼的这个程序在VT上虽然报毒很少，但实际运行可能会被不少杀软拦截，或者至少自动上报

jmkbird

B100D1E55 发表于 2017-11-23 22:46
提前打好防口水补丁

在没有确凿统计数据前我会保持缄默

卡巴应该是足够认认真真扎实分析入库吧，不像大小A之流

B100D1E55

cloud01 发表于 2017-11-23 22:00
其实ESET也是懒，只要在HIPS模块里内置对系统程序的注入和高危系统程序调用询问用户就OK了，再给个红色框 ...

我觉得ESET开发HIPS初衷基本是为了自保+内存监控+自动上报。除此之外的功能这么多年在用户友好度上都没见什么长进，无力吐槽。唯一看上去比较友好的是他们的APT检测系统，不过那又不是普通用户能用到的

B100D1E55

jmkbird 发表于 2017-11-23 23:01
卡巴应该是足够认认真真扎实分析入库吧，不像大小A之流

从报毒名来看卡巴这方面做得比其他不少厂商来得好不少，毕竟人力物力摆在那里

此外很明显卡巴的检测系统有接入VT，而ESET很可能不接入

jmkbird

B100D1E55 发表于 2017-11-23 23:05
从报毒名来看卡巴这方面做得比其他不少厂商来得好不少，毕竟人力物力摆在那里

此外很明显卡巴的检测系 ...

要说报毒名称我觉得ESET才是最好的，其次卡巴，再是大蜘蛛，别的都是会莫名其妙掺入一些数字啊之类的，搞得莫名其妙，有时候真为一些报毒名称都不愿意好好归档的安全单位担忧，以后做整合都头大，完全不知道怎么想的

HEMM

cloud01 发表于 2017-11-23 22:00
其实ESET也是懒，只要在HIPS模块里内置对系统程序的注入和高危系统程序调用询问用户就OK了，再给个红色框 ...

啥？360？智能的.......为什么你要HIPS方向的走智能路线？
打磨机32并非要你依赖其HIPS，它还有不错的检测率和比较低的误报率以及高效率强势支撑，安全易用不烦人。
HIPS始终是高级用户的选择，你选择了HIPS，就必须依靠自己的知识量和经验累计进行分析判断，当然我素说的有点夸张啦，怕把想使用的人都吓死惹，反正.........嗯.........好运.........
我也搞不清楚自己的规则是闹那样，所以我关闭惹，靠心情写写画画为规则添色彩，靠冥想OOXX为生活添乐趣。写错了就写错了，反正是自己买单，完事！

反馈者

B100D1E55 发表于 2017-11-23 23:05
从报毒名来看卡巴这方面做得比其他不少厂商来得好不少，毕竟人力物力摆在那里

此外很明显卡巴的检测系 ...

原来是这样