楼主: B100D1E55
收起左侧

[讨论] 沙箱针对性逃逸对策

  [复制链接]
B100D1E55
 楼主| 发表于 2018-6-11 10:44:35 | 显示全部楼层
驭龙 发表于 2018-6-11 10:35
说实话,赛门铁克这几年搞的SDS引擎已经提高基因效果了,但还是跟其他基因引擎有差距,而且现在大多数威 ...

我记得诺顿n年前扫描就一直很疲软,很多时候都靠Sonar。近几年ML加入后检出率会好看一点,但是误报……
屁颠屁颠
发表于 2018-6-11 10:45:41 | 显示全部楼层
B大  把你的技术文章的url汇总下发我
我要给你建一个独立的汇总帖
驭龙
发表于 2018-6-11 10:51:00 | 显示全部楼层
B100D1E55 发表于 2018-6-11 10:44
我记得诺顿n年前扫描就一直很疲软,很多时候都靠Sonar。近几年ML加入后检出率会好看一点,但是误报……

是的,就是因为SDS引擎优化特征库以后,才逐渐融入ML杀的,不过误报确实是。

尽管如此,诺顿的扫描方面,还是不算很强
pal家族
发表于 2018-6-11 11:07:40 | 显示全部楼层
又有新文章了
B100D1E55
 楼主| 发表于 2018-6-11 11:23:38 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-6-11 11:37 编辑
191196846 发表于 2018-6-11 10:41
我双击AVIRA时候 像你说的 一般都是提取特征向量到云端匹配,响应时间大概3-5秒

但也有少数情况是直接UP ...

APC我也挺佩服,虽然他们的策略和ESET/火绒之流感觉几乎是背道而驰,但能充分发挥静态的优势(也就是他们所谓的fingerprint)做这种快速响应我个人觉得算是相当妙的招数,而且性能开销小。误报方面我用的不多所以没法评论,我的直觉是误报肯定比动态系多,但应该不会多到影响大部分用户使用的地步。估计如果APC是整个文件上传可能是放云做更细致特征提取了(包括动态沙盘)。我认为APC的好处在于兼顾了效率和隐蔽性。也就是通过特征向量把响应速度提高到秒级让实时云鉴定变成可能,而通过和云的紧密结合逼着黑客交样本(因为免杀本地已经变得鸡肋了,而不联网也不知道APC杀不杀,这样使白方也有一定的信息优势,当知道了APC的结果之后样本或样本特征已经被捕获了)
总体而言我对nightvision印象还是很不错的,而且一直感觉ESET之流或许可以借鉴一下,如果技术许可的话。

携带恶意代码的PE的确是可以归类到恶意文件,但如果我的恶意程序中bar()是被加密的,那么静态启发光看bar()是看不出什么端倪的。其实现在静态启发,甚至是动态启发,都疯狂盯着解密/混淆部分杀,主要也是因为不给bar()加密都对不起群众。报injector也类似,因为不管怎么加密解密最终都要有个运行方法

嗯这样说来我会再弄几个样本看看APC的情况
B100D1E55
 楼主| 发表于 2018-6-11 11:24:57 | 显示全部楼层

前一段忙成狗,然后进入咸鱼状态,这两天由于和别人刚好讨论到这个问题心血来潮写了一下,估计马上又要进入忙成狗的状态
2605276004x
发表于 2018-6-11 11:36:48 | 显示全部楼层
我Kaspersky双击过的几十个样本,大部分大约30来分钟就能响应。但是其中有的UDS直接 拉黑,有的UDS+准确报毒名,有的还不能响应。玄之又玄
Jerry.Lin
发表于 2018-6-11 11:46:32 | 显示全部楼层
B100D1E55 发表于 2018-6-11 11:23
APC我也挺佩服,虽然他们的策略和ESET/火绒之流感觉几乎是背道而驰,但能充分发挥静态的优势(也就是他们 ...

是的,其实我个人不看好本地动态启发

虽然有非常多优势,但是其短板实在是太明显了:模拟执行带来的性能问题

无论缓存做得多好……还是会有很大影响

我个人还是喜欢把那些复杂需要大量消耗的技术统统丢到云端,端点受到的性能影响最小化,毕竟如果杀毒软件严重拖慢电脑性能的话,那和病毒有什么差别?

AVIRA在平衡这方面就做得挺不错的

个人觉得,云化是未来趋势;最明显在做这方面的就是卡巴斯基;但是改个Hash就过UDS,这个我也是不接受的;特征提取是关键

云化的同时特征提取必须做好,以最小的性能代价提取最核心的特征(这个就拼算法的优劣了),在最短的时间内响应,这个是我心目中的未来杀软应该要走的路

而本地动态启发这项技术……我认为放在云端才是最妥当的决定

我选杀软的时候,其实第一考虑的是性能而不是检测率 目前最符合我预期的就AVIRA(可惜他的交互)

=========================
APC自动上传后就分析个5秒左右就有结果了……我都不知道是怎么做到这么快的
B100D1E55
 楼主| 发表于 2018-6-11 11:47:03 | 显示全部楼层
2605276004x 发表于 2018-6-11 11:36
我Kaspersky双击过的几十个样本,大部分大约30来分钟就能响应。但是其中有的UDS直接 拉黑,有的UDS+准确报 ...

其实这些产品一般都有一些后台检测机制,初次就算扫描等表面不报毒但是后台可能通过各种方法已经找到近似家族了,这种不用很累很麻烦就可以快速拉黑。麻烦的是已知家族外的那些,为了压误报很可能需要人工分析,目测就是无法响应/响应很慢的那一类。因为处理这类样本有个优先级,广度高/人工上报的优先级高,坛里什么自制毒、玩笑程序之类的优先级一般都高不起来
欧阳宣
头像被屏蔽
发表于 2018-6-11 12:01:19 | 显示全部楼层
好厉害,膜拜。您现实中是学这部分的专业么?我data science方向都觉得这些东西好高阶

评分

参与人数 1人气 +1 收起 理由
尘梦幽然 + 1

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 08:20 , Processed in 0.099409 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表