沙箱针对性逃逸对策

显示全部楼层 · 发表于 2018-6-12 00:01:09

ccboxes 发表于 2018-6-11 23:46
所以我并不能理解ESET控制不住主防误报，不上主防大概率另有原因。

估计也有性能顾虑。现在智能主防比较强的几个基本都严重弱化了扫描从而达到性能平衡

显示全部楼层 · 发表于 2018-6-12 01:41:41

B100D1E55 发表于 2018-6-12 00:01
估计也有性能顾虑。现在智能主防比较强的几个基本都严重弱化了扫描从而达到性能平衡

其实我估计最主要还是精力钱人力不够，eset没有卡巴诺顿家业大。维护自己的动态行为库基因库就已经吃力了。。。卡巴诺顿都难以在几个方面一直维持下去。eset体量小只能先从自己最擅长的路走了。而且实时行为主防这东西难度估计很大，做好的一个手数的过来，且都在性能误报上不尽如人意。eset不做也是正确的决定。

显示全部楼层 · 发表于 2018-6-12 01:45:44

ccboxes 发表于 2018-6-11 23:46
所以我并不能理解ESET控制不住主防误报，不上主防大概率另有原因。

其实真的实时行为防御估计难度不像我们想的那么简单，真正做好的也就卡巴诺顿bdavast趋势了。这些都是家大业大的厂，eset体量比不上的。况且这几家主防都有些问题。eset不做也是正确的选择，精力不够的。。

显示全部楼层 · 发表于 2018-6-12 02:51:20

WD早点把本地动态启发砍了还比较好，他的那个动态做得很差，性能也烂，反而那个ATP系统，一点也不卡

显示全部楼层 · 发表于 2018-6-12 09:30:30

本帖最后由超超~.~ 于 2018-6-12 09:42 编辑

编辑掉

显示全部楼层 · 发表于 2018-6-12 11:43:50

本帖最后由 B100D1E55 于 2018-6-12 11:49 编辑

结果补充（6月11日更新）——之所以不直接编辑原帖是因为防止二次被吞……

今天突然想起来测试的时候漏掉了一个东西。。。对xor解密器报毒的杀软不一定都有动态执行能力，因为很有可能只是对xor进行了针对性处理。因此最好的检验方法就是测试一下xor+线性变换+无用户名检测的样本，结果如下：

这个结果有一点意思，对比xor+无用户名检测的样本而言减少了3家检出，分别是Cybereason，Dr.Web，Sophos AV
由此可见这三家当初的检出都是靠静态而不是动态，特别是之前我误以为大蜘蛛是动态检出，现在看来大蜘蛛连动态虚拟都没跑，囧rz

这里更有意思的是Ikarus和Avast(AVG)都检出了，传统观念认为这几家都是纯静态，真的是这样吗？
其实检验的方法很简单，我只要在解密前加上一些延时代码即可，比如counter loop 100000次

对比一下，歇菜的有Avast(AVG)，ESET，Ikarus
从这个对比可以看出Avast(AVG)以及Ikarus很可能拥有代码模拟执行功能，会对程序进行初步的展开并对衍生物/内存等进行静态启发，但是这个展开过程执行的指令数量很少。而ESET这么快歇菜了我个人猜测是因为ESET采取了“分类处理”，即对不同类别的样本扫描时长不同。用过ESET的同学都会发现ESET扫不同PE样本耗时差别很大，说明ESET内部可能有一个判断机制，对某些类别的样本会加长沙盒内模拟执行的时长，而某些样本则会简单处理。其实ESET库体积变大也和这方面有关，将运行初期行为/meta特征入库之后扫描引擎可以在展开更少行为的情况下判毒，而毒库小的动态引擎反倒需要收集更多的行为才能判别，因此扫描更慢。

最后的最后，将counter loop 延长到鬼畜的10亿次（就算counter loop这么长，在实机中也就是一眨眼的功夫，因为这个流程的IPC近似为1）

大家都歇菜了，除了某个误报王

所以这里的结论是：Avast(AVG)，Ikarus有基本代码模拟执行能力；大蜘蛛对这个系列样本的检出不是靠动态启发而仅仅是特征匹配；卡巴、ESET、微软的动态扫描超时阈值各不相同（顺带一提，火绒也能跑很长的counter loop，但敌不过更鬼畜的数字……）

预告：预计顺利的话下一次将更新vmray的结果

显示全部楼层 · 发表于 2018-6-12 11:46:59

GreenCodes 发表于 2018-6-12 02:51
WD早点把本地动态启发砍了还比较好，他的那个动态做得很差，性能也烂，反而那个ATP系统，一点也不卡

按理来说ATP对系统性能拖累应该更明显……看来WD引擎性能优化挺失败的

显示全部楼层 · 发表于 2018-6-12 11:57:18

本帖最后由驭龙于 2018-6-12 11:58 编辑

B100D1E55 发表于 2018-6-12 11:46
按理来说ATP对系统性能拖累应该更明显……看来WD引擎性能优化挺失败的

是的，WDATP刚出的时候，超级占CPU，后期好一点，但还是不想，不好玩呢

显示全部楼层 · 发表于 2018-6-12 11:57:26

B100D1E55 发表于 2018-6-12 11:43
结果补充（6月11日更新）——之所以不直接编辑原帖是因为防止二次被吞……

今天突然想起来测试的时候漏 ...

Avast的代码模拟很早很早很早前就有了，扫描和监控设置选项还有单独的地方专门有个选项：开启代码模拟

显示全部楼层 · 发表于 2018-6-12 11:58:26

wangkaka 发表于 2018-6-12 11:57
Avast的代码模拟很早很早很早前就有了，扫描和监控设置选项还有单独的地方专门有个选项：开启代码模拟[:0 ...

对我记得。。它那界面还是播放器模样的时候就有，我一直以为是摆设（不过差不多也是摆设了）

[讨论] 沙箱针对性逃逸对策

本帖子中包含更多资源

评分