沙箱针对性逃逸对策

显示全部楼层 · 发表于 2018-6-11 17:24:00

Karna 发表于 2018-6-11 12:05
感觉红伞这个就真的是策略优势了，但不知道非脚本小子怎么看了，CIA倒是说要红伞不怎么难过，难绕过的BD最 ...

其实BD现在的问题就是误报压不下来，能绕过ATD的毒还是很少。当然能改进引擎最好，BD引擎技术落伍也不是一年两年了。

显示全部楼层 · 发表于 2018-6-11 18:35:59

ccboxes 发表于 2018-6-11 17:24
其实BD现在的问题就是误报压不下来，能绕过ATD的毒还是很少。当然能改进引擎最好，BD引擎技术落伍也不是 ...

这个帖子https://bbs.kafan.cn/thread-2124921-1-1.html，不知道你怎么看，最新的不如以前的。去年AVC上也出现过ATD的BD打不过ATC的tencent，砍了IDS不知道为何，就是感觉有点迷。

显示全部楼层 · 发表于 2018-6-11 20:04:14

本帖最后由 ccboxes 于 2018-6-11 20:13 编辑

Karna 发表于 2018-6-11 18:35
这个帖子https://bbs.kafan.cn/thread-2124921-1-1.html，不知道你怎么看，最新的不如以前的。去年AVC上 ...

这并不与我说的相悖。

你用BD的时间太少了，ATC一向防不住破坏MBR的病毒，或者说根本不考虑防，样本区有的几个一上来就改MBR的毒，ATC能拦的只有少数。ATD现在也一样，没有管理员权限，动不了MBR就被杀，动了MBR就没办法。但实际上这种明显的动作要针对很容易，BD可能是有自己的考量才没有针对。

用一次AVC的成绩来下结论更是不合适的，就算腾管综合效果逊于BD不少，那你也不能完全无视腾管的腾讯自主引擎和云，有一次测试杀了BD杀不了的毒再正常不过了。

就我自己的体验，现在的ATD效果肯定是强于以前的ATC+IDS，更不用说还有回滚。

显示全部楼层 · 发表于 2018-6-11 20:29:25

下午就看到楼主的帖子了，初初瞄了下有深度有看头，故不想匆忙回帖，饭后刚把帖子仔细看完，包括楼上各位回复的，也都是技术流，本人表示佩服。。

过于技术层面的不多说，因为我算不上真正的杀软爱好者，并没有深入了解过各家的技术细节，就泛泛的说点自己的一些看法或使用心得吧。。

显示全部楼层 · 发表于 2018-6-11 20:32:21

www-tekeze 发表于 2018-6-11 20:29
下午就看到楼主的帖子了，初初瞄了下有深度有看头，故不想匆忙回帖，饭后刚把帖子仔细看完，包括楼上各位回 ...

我也完全赞成云端快速响应+本地行为防御这种策略，过于倚重某一头都不可取！目前我用的火绒，云端就是个空白，而本地的行为防御也不够强大，但我仍然选择了它，因为我是以影子、沙盘、Ghost三者做后盾，而火绒有丰富的系统加固项，还有HIPS规则可用，发挥得好防御能力还是不错。。。

我个人相信，不远的将来Win10平台上WD会占据明显优势地位，况且网络也会继续提速，到时换新机器后我会选用WD的，之前我就安心用火绒吧。。

显示全部楼层 · 发表于 2018-6-11 20:58:40

wangkaka 发表于 2018-6-11 12:33
2011年的bd可以说完全静态，现在的bd只剩拉黑了，启发基本看不到了。。。现在唯一让我提的起兴趣的就剩es ...

其实还是有启发的，一般已知家族Trojan GenericKD被免杀了后续还有可能有Gen系列特征匹配，当然我觉得估计是静态启发了……其实不给报毒名也可能是放烟雾弹，尽量减少对黑客暴露的信息，虽然我觉得有些厂商很明显不是这么回事

显示全部楼层 · 发表于 2018-6-11 21:04:45

Karna 发表于 2018-6-11 12:34
只能说不同的检测模型有各自的优势和局限了（？）多层防护确实必不可少，同时还得考虑误报和性能
...

对的，所以做出好的安全软件不容易啊……

其实专门针对企业的产品误报率反倒会更高，主要是因为企业需要更严格的安全审查，而且企业一般有专门的IT管理员可以判断误报之类的，再加上企业电脑一般软件环境比较稳定，不会动不动来个破解软件、绿色软件，所以初期排除掉就差不多了。

其实卡巴肯定不仅是靠着VT收集样本，只不过其对VT响应的优先级的确比较高。基本所有大厂都有你说的这类客户端探针，ESET 11开始LiveGrid就更频繁地上传样本了，而且HIPS组件和扫描引擎后台遇到可疑程序会自动上传对应信息，BD等也类似。

显示全部楼层 · 发表于 2018-6-11 21:07:01

黑暗的背叛者发表于 2018-6-11 13:40
加密和混淆都反逆向手段，另外掺杂部分非典型编译器实现和汇编指令能更进一步提高难度，然而有些逻辑简单又 ...

我之所以仍旧不太信任静态主要也是因为这个原因。有一些东西从表层很难看出什么端倪，还有刻意构造误报样本的潜在风险在里面……

显示全部楼层 · 发表于 2018-6-11 21:12:03

ccboxes 发表于 2018-6-11 17:17
所以还是要多层防御，尤其是行为防御，即使是红伞这种云，我也并不是很放心，虽然单纯有多层防御并不意味着 ...

ESET一向不认同用白名单压误报（他们用白名单主要是为了性能优化），主要论点是如果不做签名拉白的话（毕竟拉白越多潜在风险越大）常规软件的自动版本迭代会导致新版本推出初期在客户机上产生潜在误报。我觉得这个观点是有道理的，我自己用某些靠着信誉云的行为检测软件偶尔还会报Dropbox版本迭代后的“可疑行为”。

显示全部楼层 · 发表于 2018-6-11 21:15:18

本帖最后由 191196846 于 2018-6-11 21:17 编辑

B100D1E55 发表于 2018-6-11 21:12
ESET一向不认同用白名单压误报（他们用白名单主要是为了性能优化），主要论点是如果不做签名拉白的话（毕 ...

来玩

https://bbs.kafan.cn/thread-2124997-1-1.html

趁热吃

[讨论] 沙箱针对性逃逸对策