楼主: B100D1E55
收起左侧

[讨论] 沙箱针对性逃逸对策

  [复制链接]
wangkaka
发表于 2018-6-13 12:38:40 来自手机 | 显示全部楼层
pal家族 发表于 2018-6-13 12:35
龙大,你能用eset个人版截个图吗?109L的。

个人版好像是没有那个选项的。。。。我回去帮你看看
驭龙
发表于 2018-6-13 12:39:10 | 显示全部楼层
pal家族 发表于 2018-6-13 12:35
龙大,你能用eset个人版截个图吗?109L的。

我现在没有安装的,抱歉
wangkaka
发表于 2018-6-13 14:28:50 | 显示全部楼层
pal家族 发表于 2018-6-13 12:35
龙大,你能用eset个人版截个图吗?109L的。


抱歉我之前说错了,个人版eis也是有这个功能的。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
B100D1E55
 楼主| 发表于 2018-6-13 20:50:34 | 显示全部楼层
pal家族 发表于 2018-6-13 12:30
bj时间晚上等你归来

已经更新在国外区
B100D1E55
 楼主| 发表于 2018-6-13 20:53:12 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-6-13 20:56 编辑
欧阳宣 发表于 2018-6-13 12:30
俺们只有膜拜的份了……

如果行为特征(本地的)能够精确到一旦免杀成功就失去恶意软件本身的效果的地步 ...

有的,其实Hybrid-Analysis那些malicious indicator就是行为启发的一种,本质上是人为制定的规则。当然那些行为规则会产生大量误报,所以还要结合各种判断依据,例如基于IoC的artifact分析才能增加精确度。而对于没有IoC的崭新样本,走人工还是最稳妥的

而ESET这里提取的只不过是为了增加这种indicator在扫描引擎的特异性。对于客户端来说可控性比广谱性更重要,广谱行为启发要藏云端(其实厂商云沙盘就算最重要的手段之一),而客户端只需要适当的广谱检测,最重要的还是可控
JTandGP2016
发表于 2018-6-13 21:54:14 | 显示全部楼层
B100D1E55 发表于 2018-6-11 21:12
ESET一向不认同用白名单压误报(他们用白名单主要是为了性能优化),主要论点是如果不做签名拉白的话(毕 ...

B100D1E55先生您好,以前围观过您的一些技术贴那时您和龙大交流,我感觉研发一款强劲且好用的安全软件难度好大,目前的杀软应用多层防御很有必要,但包括兼容性考量、误报、资源占用、等打磨也得花时间,目前综合效能比较让人放心的安软可以推荐一下吗?谢谢。
欧阳宣
头像被屏蔽
发表于 2018-6-13 23:19:04 | 显示全部楼层
B100D1E55 发表于 2018-6-13 20:53
有的,其实Hybrid-Analysis那些malicious indicator就是行为启发的一种,本质上是人为制定的规则。当然那 ...

大量误报?听起来跟最早大家黑红伞误报多差不多,感觉历史在重演

机器学习在这方面能加入进来么?
B100D1E55
 楼主| 发表于 2018-6-13 23:25:36 | 显示全部楼层
欧阳宣 发表于 2018-6-13 23:19
大量误报?听起来跟最早大家黑红伞误报多差不多,感觉历史在重演

机器学习在这方面能加入进来么?

对的,你拿ccleaner绿色版放到hybrid analysis执行会有一大串可疑行为,如果打分的话肯定要报毒。其实行为这东西不是万灵药。坛子里很多人指望智能主防能防MBR炸弹在我看来就是很不现实的,改MBR是可疑,但一些磁盘工具也能改,能说那些也是毒吗?为了区分炸弹和正常程序,可能需要提取MBR写入内容特征,但这样一来广谱性就降低了,但至少不会误报。这也是为什么ESET对于MBR炸弹只有入库了才敢报,因为想要自动化判别实在是只能靠擦屁股

机器学习绝对是可以的,但要看加在什么上面。我个人认为终端产品对表层二进制特征进行学习没有意义,现阶段效果好只是暂时的,不久这类方法普及之后针对性混淆就会出现,而且更容易混淆(因为不是从行为层面)。机器学习放在行为上,辅以另一些机器学习文本识别(比如内存string特征等等)应该是比较稳妥的做法。我个人希望未来能看到更多有意思的技术
GreenCodes
发表于 2018-6-14 07:26:58 | 显示全部楼层
B100D1E55 发表于 2018-6-13 23:25
对的,你拿ccleaner绿色版放到hybrid analysis执行会有一大串可疑行为,如果打分的话肯定要报毒。其实行 ...

如果杀了故意构造的白文件也算误报,那么杀毒真的永远只能擦屁股
B100D1E55
 楼主| 发表于 2018-6-14 08:19:32 | 显示全部楼层
GreenCodes 发表于 2018-6-14 07:26
如果杀了故意构造的白文件也算误报,那么杀毒真的永远只能擦屁股

其实。。就实用角度来说姑且不把特别构造的白文件当误报吧。但是不能太容易让其他人随便写的程序被报毒,有的见到hello world都会报……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 13:48 , Processed in 0.107187 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表