由复习C语言引发的对DeepGuard防御机制的思考

zmhab

  今天复习C语言的指针部分，尝试着输出变量的地址的时候，发现了一个有意思的现象 ：
   如果让程序取某个变量在内存中的地址并输出，因为涉及到对内存的访问，而且自己写的程序又没有数字签名（在FS看来是有未知风险的），所以这时DeepGuard开始弹窗了：
  
如果阻止程序，那么程序就不能正常访问内存，也就不能输出变量的内存地址：

如果允许程序继续运行，那么也就能够取出变量的内存地址（0x65fe4c）然后输出了：

我感觉，通过这个现象能看出来，DeepGuard是通过监测程序的内存注入行为来实现实时防御的（对未知程序非常有效）
国内的杀软主防应该好好学习一下FS的防御算法，每次一看到国产杀软离线主防那惨不忍睹的结果就……

wangkaka

这要是都报了，误报不得飞了。。就算fs估计也不是这么简单就报。肯定有其他判断依据

ccboxes

首先这个报得是不常见再加上是运行之后再报，可以知道是结合信誉的单步主防杀，与你说的断网表现没啥关系。

其次问问你自己，这个程序是病毒吗？虽然BD引擎的误报控制没有卡巴拿捏的这么好，也是前列水平，而DG竟仅仅因为一个不带数签的程序访问内存就报毒，我想我们知道了各大国际测试里FS误报都爆表的原因。

查找变量内存地址是极为常见的行为，而现在任何一个带合格行为分析的安软（包括你认为应该“好好学习”的360、腾讯管家等等一众）都可以轻易侦测并拦截这个动作，但为什么他们不报呢？因为单单这个并不能判定一个程序的黑白，行为分析应该综合程序的多步行为才能下结论。

当然，搞基于信誉是没问题的，单步判断也是可以的，但单步主防应该像360和Emsisoft一样，列出程序可疑行为的说明再交给用户判断，而FS说了一句少见就扔给用户，让小白何去何从？

DG并不是单纯的行为分析，是信誉+行为+漏洞防护的体系，而我并没有评价它的总体效果，请不要认为我在说DG垃圾。但你列出的这个“模范试卷”是不及格的，学了才要出事。

pal家族

ccboxes 发表于 2017-11-26 21:10
首先这个报得是不常见再加上是运行之后再报，可以知道是结合信誉的单步主防杀，与你说的断网表现没啥关系。 ...

辛苦了

ccboxes

pal家族 发表于 2017-11-26 21:14
辛苦了

周末有空，要不然也不会发这么多字。