查看: 2910|回复: 4
收起左侧

[讨论] 由复习C语言引发的对DeepGuard防御机制的思考

[复制链接]
zmhab
发表于 2017-11-24 20:59:15 | 显示全部楼层 |阅读模式
  今天复习C语言的指针部分,尝试着输出变量的地址的时候,发现了一个有意思的现象 :
   如果让程序取某个变量在内存中的地址并输出,因为涉及到对内存的访问,而且自己写的程序又没有数字签名(在FS看来是有未知风险的),所以这时DeepGuard开始弹窗了:
  
如果阻止程序,那么程序就不能正常访问内存,也就不能输出变量的内存地址:

如果允许程序继续运行,那么也就能够取出变量的内存地址(0x65fe4c)然后输出了:

我感觉,通过这个现象能看出来,DeepGuard是通过监测程序的内存注入行为来实现实时防御的(对未知程序非常有效)
国内的杀软主防应该好好学习一下FS的防御算法,每次一看到国产杀软离线主防那惨不忍睹的结果就……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wangkaka
发表于 2017-11-26 12:38:58 来自手机 | 显示全部楼层
这要是都报了,误报不得飞了。。就算fs估计也不是这么简单就报。肯定有其他判断依据
ccboxes
发表于 2017-11-26 21:10:42 | 显示全部楼层
本帖最后由 ccboxes 于 2017-11-26 23:24 编辑

首先这个报得是不常见再加上是运行之后再报,可以知道是结合信誉的单步主防杀,与你说的断网表现没啥关系。

其次问问你自己,这个程序是病毒吗
?虽然BD引擎的误报控制没有卡巴拿捏的这么好,也是前列水平,而DG竟仅仅因为一个不带数签的程序访问内存就报毒,我想我们知道了各大国际测试里FS误报都爆表的原因。

查找变量内存地址是极为常见的行为,而现在任何一个带合格行为分析的安软(包括你认为应该“好好学习”的360、腾讯管家等等一众)都可以轻易侦测并拦截这个动作,但为什么他们不报呢?因为单单这个并不能判定一个程序的黑白,行为分析应该综合程序的多步行为才能下结论。

当然,搞基于信誉是没问题的,单步判断也是可以的,但单步主防应该像360和Emsisoft一样,列出程序可疑行为的说明再交给用户判断,而FS说了一句少见就扔给用户,让小白何去何从?

DG并不是单纯的行为分析,是信誉+行为+漏洞防护的体系,而我并没有评价它的总体效果,请不要认为我在说DG垃圾。但你列出的这个“模范试卷”是不及格的,学了才要出事。

pal家族
发表于 2017-11-26 21:14:57 | 显示全部楼层
ccboxes 发表于 2017-11-26 21:10
首先这个报得是不常见再加上是运行之后再报,可以知道是结合信誉的单步主防杀,与你说的断网表现没啥关系。 ...

辛苦了
ccboxes
发表于 2017-11-26 21:22:24 | 显示全部楼层

周末有空,要不然也不会发这么多字。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 06:15 , Processed in 0.130358 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表