沙箱针对性逃逸对策

wangkaka

pal家族 发表于 2018-6-13 12:35
龙大，你能用eset个人版截个图吗？109L的。

个人版好像是没有那个选项的。。。。我回去帮你看看

驭龙

pal家族 发表于 2018-6-13 12:35
龙大，你能用eset个人版截个图吗？109L的。

我现在没有安装的，抱歉

wangkaka

pal家族 发表于 2018-6-13 12:35
龙大，你能用eset个人版截个图吗？109L的。

抱歉我之前说错了，个人版eis也是有这个功能的。

B100D1E55

pal家族 发表于 2018-6-13 12:30
bj时间晚上等你归来

已经更新在国外区

B100D1E55

欧阳宣 发表于 2018-6-13 12:30
俺们只有膜拜的份了……

如果行为特征（本地的）能够精确到一旦免杀成功就失去恶意软件本身的效果的地步 ...

有的，其实Hybrid-Analysis那些malicious indicator就是行为启发的一种，本质上是人为制定的规则。当然那些行为规则会产生大量误报，所以还要结合各种判断依据，例如基于IoC的artifact分析才能增加精确度。而对于没有IoC的崭新样本，走人工还是最稳妥的

而ESET这里提取的只不过是为了增加这种indicator在扫描引擎的特异性。对于客户端来说可控性比广谱性更重要，广谱行为启发要藏云端（其实厂商云沙盘就算最重要的手段之一），而客户端只需要适当的广谱检测，最重要的还是可控

JTandGP2016

B100D1E55 发表于 2018-6-11 21:12
ESET一向不认同用白名单压误报（他们用白名单主要是为了性能优化），主要论点是如果不做签名拉白的话（毕 ...

B100D1E55先生您好，以前围观过您的一些技术贴那时您和龙大交流，我感觉研发一款强劲且好用的安全软件难度好大，目前的杀软应用多层防御很有必要，但包括兼容性考量、误报、资源占用、等打磨也得花时间，目前综合效能比较让人放心的安软可以推荐一下吗？谢谢。

欧阳宣

B100D1E55 发表于 2018-6-13 20:53
有的，其实Hybrid-Analysis那些malicious indicator就是行为启发的一种，本质上是人为制定的规则。当然那 ...

大量误报？听起来跟最早大家黑红伞误报多差不多，感觉历史在重演

机器学习在这方面能加入进来么？

B100D1E55

欧阳宣 发表于 2018-6-13 23:19
大量误报？听起来跟最早大家黑红伞误报多差不多，感觉历史在重演

机器学习在这方面能加入进来么？

对的，你拿ccleaner绿色版放到hybrid analysis执行会有一大串可疑行为，如果打分的话肯定要报毒。其实行为这东西不是万灵药。坛子里很多人指望智能主防能防MBR炸弹在我看来就是很不现实的，改MBR是可疑，但一些磁盘工具也能改，能说那些也是毒吗？为了区分炸弹和正常程序，可能需要提取MBR写入内容特征，但这样一来广谱性就降低了，但至少不会误报。这也是为什么ESET对于MBR炸弹只有入库了才敢报，因为想要自动化判别实在是只能靠擦屁股

机器学习绝对是可以的，但要看加在什么上面。我个人认为终端产品对表层二进制特征进行学习没有意义，现阶段效果好只是暂时的，不久这类方法普及之后针对性混淆就会出现，而且更容易混淆（因为不是从行为层面）。机器学习放在行为上，辅以另一些机器学习文本识别（比如内存string特征等等）应该是比较稳妥的做法。我个人希望未来能看到更多有意思的技术

GreenCodes

B100D1E55 发表于 2018-6-13 23:25
对的，你拿ccleaner绿色版放到hybrid analysis执行会有一大串可疑行为，如果打分的话肯定要报毒。其实行 ...

如果杀了故意构造的白文件也算误报，那么杀毒真的永远只能擦屁股

B100D1E55

GreenCodes 发表于 2018-6-14 07:26
如果杀了故意构造的白文件也算误报，那么杀毒真的永远只能擦屁股

其实。。就实用角度来说姑且不把特别构造的白文件当误报吧。但是不能太容易让其他人随便写的程序被报毒，有的见到hello world都会报……