楼主: B100D1E55
收起左侧

[讨论] 沙箱针对性逃逸对策

  [复制链接]
B100D1E55
 楼主| 发表于 2018-6-11 12:25:45 | 显示全部楼层
wangkaka 发表于 2018-6-11 12:09
bd的启发看来是纯静态了,在很早以前360曾买了bd的启发库,那是后bd就是纯静态启发,现在这么久了,还是这 ...

我也好奇啊,不是以前有什么B-HAVE技术吗,难道现在为了性能弱化了扫描?
B100D1E55
 楼主| 发表于 2018-6-11 12:32:02 | 显示全部楼层
191196846 发表于 2018-6-11 12:19
我倒是没见过(3)……至少我看不出来

红伞MISS的样本貌似要手动上报才杀(不过很少MISS,国内某语言 ...

我觉得遇到3不容易,不然红伞那么一些雇员根本忙不过来。

哇红伞很实诚……看来我要多用用红伞。之前只是稍微玩一下,我对他们那个界面感到蛋疼,但最蛋疼的还是BD,虽然酷炫但是不直观

APC那个我要好好想一想有没有什么有意思的,测试idea不定期产生,所以别催我填坑
wangkaka
发表于 2018-6-11 12:33:26 来自手机 | 显示全部楼层
本帖最后由 wangkaka 于 2018-6-11 12:35 编辑
B100D1E55 发表于 2018-6-11 12:25
我也好奇啊,不是以前有什么B-HAVE技术吗,难道现在为了性能弱化了扫描?

2011年的bd可以说完全静态,现在的bd只剩拉黑了,启发基本看不到了。。。现在唯一让我提的起兴趣的就剩eset与卡巴。卡巴还不学好的走纯云了。。。现在基本还能有准确报毒名的都是动态启发好的,如wd,eset,卡巴等。像小a的avogen,诺顿的gen,bd的ηθεηιλιο。。。。。鬼知道是什么,估计就是自动机提取,分类还不行。
Picca
发表于 2018-6-11 12:34:34 | 显示全部楼层
本帖最后由 Karna 于 2018-6-11 12:44 编辑
B100D1E55 发表于 2018-6-11 12:24
其实如果能反向估测出判毒依据(比如熵值特征之类的),免杀红伞我相信不难。一般来说表层二进制免杀统计 ...

只能说不同的检测模型有各自的优势和局限了(?)多层防护确实必不可少,同时还得考虑误报和性能

所以还是国外那几家有APT检测功能的企业杀软更有看头。想看看性能放开了以后哪家的 检出率/误报率 最高,只是主流的测试机构都没看到相关的测试报告。
另外,我觉得比起对抗免杀,民用安软更重要的是响应未知病毒的能力。卡巴UDS的那个帖子就看出来了,光靠VT还是太脆,这一点上我还真希望国外的安软学学国产,加强一下客户端的上传能力,最好遇到不认识程序的就上传,上传一些进程行为数据,帮助发觉未知病毒。
B100D1E55
 楼主| 发表于 2018-6-11 12:37:05 | 显示全部楼层
欧阳宣 发表于 2018-6-11 12:21
APC强力是没错,但是作为红伞的最后防线我自己是没法放心的,会配合mbam来用,有一点基于静态规则的类hips ...

有的,我其实文章里提到趋势有这么做(你可以搜搜趋势Tipping point产品线的宣传资料)

对,红伞APC虽然强,但过了就惨了。我现在基本还是EDR/Cuckoo互换着用,打算等ESET那个云沙盒出了就抛弃Cuckoo。其实这两天Cuckoo更新后功能上已经有点像app.any.run了,可玩度不低
,就一个.
发表于 2018-6-11 13:08:00 | 显示全部楼层
191196846 发表于 2018-6-11 11:46
是的,其实我个人不看好本地动态启发

虽然有非常多优势,但是其短板实在是太明显了:模拟执行带来的性 ...

开发这个APC小红伞肯定是投了不少钱花费了不少人力物力才弄出来那么牛逼的玩意,要不然那有那么快,自动上传分析5秒就出结果,就说目前迈克菲的GTI,自动反馈的可疑新样本到云端可以杀我这里最快是半个小时月神才杀,用户手动提交的,自动机要分析大半天,并且自动机分析基本都是miss,还得进一步发送到实验室进行分析,一两个小时以后大多是MD5拉黑,部分特殊样本比如最近比较流行的样本会加入DAT里面,这种入库需要等大概四五个小时有时候更久。还好现在有主防哦,没主防简直不敢用
黑暗的背叛者
发表于 2018-6-11 13:40:21 | 显示全部楼层
加密和混淆都反逆向手段,另外掺杂部分非典型编译器实现和汇编指令能更进一步提高难度,然而有些逻辑简单又敏感就是容易“乱报”。检测方面一直是难题啊。
pal家族
发表于 2018-6-11 15:03:35 | 显示全部楼层
B100D1E55 发表于 2018-6-11 11:24
前一段忙成狗,然后进入咸鱼状态,这两天由于和别人刚好讨论到这个问题心血来潮写了一下,估计马上又要进 ...

人艰不拆
KK院长
发表于 2018-6-11 15:12:06 | 显示全部楼层
沙箱也有局限的问题,不管怎么说,可以解决大部分问题就好的。
ccboxes
发表于 2018-6-11 17:17:59 | 显示全部楼层
本帖最后由 ccboxes 于 2018-6-11 17:26 编辑

所以还是要多层防御,尤其是行为防御,即使是红伞这种云,我也并不是很放心,虽然单纯有多层防御并不意味着实际效果。但我还是更认同卡巴这种云端快速响应+本地行为防御的路子。

ESET本质上也是基于行为的,也不是没有做HIPS的能力,可惜被误报困扰多年,推不出主防。可以学习一下卡巴,根据他们的说法,KSN有一个巨大的白特征库,包括静态和行为信息,任何新的特征码在被加入之前都要过一遍,产生误报就不会推送。

红伞APC倒是做的很绝,可惜当年因为内部矛盾,做主防的人走了,希望还有可能见到。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 14:14 , Processed in 0.105424 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表