楼主: B100D1E55
收起左侧

[讨论] 沙箱针对性逃逸对策

  [复制链接]
wangkaka
发表于 2018-6-12 12:03:39 | 显示全部楼层
B100D1E55 发表于 2018-6-12 11:58
对我记得。。它那界面还是播放器模样的时候就有,我一直以为是摆设(不过差不多也是摆设了)

我初中就有了,那时效果很不好。。
但2013年后avast代码模拟占比重很大了,而且代码模拟和deepscreen是联动的,报毒dyna就是联动的结果。而且似乎也影响evo-gen这种检测。。
B100D1E55
 楼主| 发表于 2018-6-12 12:08:00 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-6-12 12:09 编辑
wangkaka 发表于 2018-6-12 12:03
我初中就有了,那时效果很不好。。
但2013年后avast代码模拟占比重很大了,而且代码模拟和deepscreen是 ...

我越来越觉得动态启发引擎不是做得速度贼快、仿真各种东西贼真就ok了,因为这种再怎么搞都拼不过云沙盘,而云沙盘问题已经够多了。真正要做好动态启发要开发算法能通过初期极短的行为/特征展开就能判毒,估摸ESET那个DNA特征(主要是kryptik那些)就是针对这种需求
wangkaka
发表于 2018-6-12 12:15:00 | 显示全部楼层
B100D1E55 发表于 2018-6-12 12:08
我越来越觉得动态启发引擎不是做得速度贼快、仿真各种东西贼真就ok了,因为这种再怎么搞都拼不过云沙盘, ...

其实eset的DNA我感觉大部分报的是可疑壳,畸形文件这类,而不是完全判定是毒。。。。
动态启发太好绕过了,然而可以挡住一部分不怎么样的毒,这部分还是占大多数的
小a当年就是走到死胡同了,走动态启发加沙盒(deepscreen)判毒,甚至到最后都加上了真正的全量虚拟机(ng模块),结果卵用没有还贼卡,现在小a基本砍了动态启发和deepscreen了,库文件只剩几十kb了。。。。
pal家族
发表于 2018-6-12 12:26:45 | 显示全部楼层
这就很尴尬了,蜘蛛真的走下神坛了。。。。
B100D1E55
 楼主| 发表于 2018-6-12 12:29:03 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-6-12 12:50 编辑
wangkaka 发表于 2018-6-12 12:15
其实eset的DNA我感觉大部分报的是可疑壳,畸形文件这类,而不是完全判定是毒。。。。
动态启发太好绕过 ...

不见得,我认为报一些壳主要是因为他们超过了虚拟执行引擎的能力无奈而为之。

比如VMProtect那类的混淆部分不是x86指令,而是内置了一个虚拟机,加壳的时候会先把原始代码翻译成自己的ISA指令,然后运行的时候会用内嵌的虚拟机模拟执行。这时候就非常操蛋了,本来常规程序二进制翻译后直接看syscall之类的,但在这种壳的情况下不逼着虚拟引擎代替执行出来应该判别不出程序具体要做什么,想知道做什么必须得老实借着壳程序内置虚拟机执行才能展开行为。但这样各类问题就很麻烦,因此索性直接报壳比较稳妥。不过这类报壳也不是无脑报,VMProtect这种商业壳为了防止正规软件误报引入了taggant系统,这个系统类似于数字签名,正规客户就算上了VMP壳,通过taggant上了校验就可以避免一些报毒,反过来要是某个合法校验被发现含毒就会被吊销(这显性地增加了黑客借用此类壳进行攻击地成本),有一些杀软会通过这个校验系统来选择性报可疑文件,这应该就是“报盗版壳”的真相。所以报壳不一定等于误报,至少有有效taggant签名的应该不会被波及

至于剩下的,比如.net混淆,或者自制类似虚拟混淆引擎因为基本只有病毒用,所以直接报毒是误报的概率会很小,而且提取这类混淆特征可以有效提高对方对抗成本。这里面我相信不乏一些检查环境信息发现异常就自动退出的Kryptik特征。只要这些特征和普通程序区分度足够大,就不用担心误报。怎么提这个特征是门学问,不然有虚拟执行引擎的查杀率估计都能上去。而小A那个可能是指望虚拟执行后跑出真的病毒行为,但太容易被针对……虚拟执行一些代码后检测静态特征反倒还现实一点

不过这样说来……Taggant系统貌似今年7月就要关闭了,不知道是因为没钱了还是什么原因……

B100D1E55
 楼主| 发表于 2018-6-12 12:39:16 | 显示全部楼层
pal家族 发表于 2018-6-12 12:26
这就很尴尬了,蜘蛛真的走下神坛了。。。。

我一开始都被坛子里流传的误导了,看到报毒直接想当然认为是动态启发报出来的……
驭龙
发表于 2018-6-12 12:43:59 | 显示全部楼层
B100D1E55 发表于 2018-6-12 12:39
我一开始都被坛子里流传的误导了,看到报毒直接想当然认为是动态启发报出来的……

其实现在蜘蛛把启发用在DrWeb Process Heuristic 大蜘蛛进程启发行为分析上了,也就是扫描部分没有动态启发,需要威胁运行以后,DPH才有动态启发的效果
pal家族
发表于 2018-6-12 12:45:03 | 显示全部楼层
B100D1E55 发表于 2018-6-12 12:39
我一开始都被坛子里流传的误导了,看到报毒直接想当然认为是动态启发报出来的……

说不定是最近才放弃的呢,(ノ"◑ ◑)ノ"(。•́︿•̀。)
卡巴感觉也没用那么不堪(/▽╲)
总之。。有楼主这样的帖子真的是太吼啦!
B100D1E55
 楼主| 发表于 2018-6-12 12:45:25 | 显示全部楼层
驭龙 发表于 2018-6-12 12:43
其实现在蜘蛛把启发用在DrWeb Process Heuristic 大蜘蛛进程启发行为分析上了,也就是扫描部分没有动态启 ...

大概是引擎启发遇到了技术瓶颈吧。。这样说来E家也是不容易
B100D1E55
 楼主| 发表于 2018-6-12 12:48:45 | 显示全部楼层
pal家族 发表于 2018-6-12 12:45
说不定是最近才放弃的呢,(ノ"◑ ◑)ノ"(。•́︿•̀&# ...

谢谢滋磁

卡巴技术实力肯定不差(特别是开始压误报、优化性能后我对其好感度上升了),他们这几年这些个检出策略的改变要时间来检验了

评分

参与人数 1人气 +1 收起 理由
pal家族 + 1 1w个滋滋

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 22:57 , Processed in 0.098304 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表