#PACKAGE 0612

zst470396853

360杀毒一扫
Samples(20/25) + M(21/25) = Total(41/50)  


上传鉴定后
Samples(20/25) + M(21+2/25) = Total(43/50)


上传了几个



鉴定之后

欧阳宣

191196846 发表于 2018-6-12 22:05
你可以看下我发的日志

有启发杀的，有本地ML（AGEN）杀的，云杀，特征报法确实没有

其实恕我直言，所有Trojan.XPACK.XXXXXXX (Cloud) 也其实都是来不及本地入库的拉黑报法，有可能只是因为楼主的毒源已经被红伞涵盖到了，真的是新鲜样本应该连拉黑都完全不出现才对，如果真的HEUR/APC能默秒全，再激动也不迟

个人看法

WhiteCruel

zst470396853 发表于 2018-6-12 23:56
360杀毒一扫
Samples(20/25) + M(21/25) = Total(41/50)  

这是用卫士还是杀毒扫描后自动上传的？杀毒上传后只有记录，看不到鉴定结果...

Jerry.Lin

欧阳宣 发表于 2018-6-13 02:05
其实恕我直言，所有Trojan.XPACK.XXXXXXX (Cloud) 也其实都是来不及本地入库的拉黑报法，有可能只是因为 ...

我昨晚有观察了下

不管是S还是M，绝大部分样本双击之后都有明显的上传行为（流量监控），暂时看不出来是整只上传还是提取了什么特征上传到云上，等待时间大概为5-10秒（3-5秒上传，取决于网速和文件大小；3-5秒分析得出结果；应该是和云模型静态特征比对），有些文件大点的等待20秒左右

我想如果是样本先前在云上的话，至少不需要等待这么久吧

其余小部分立即拦截的（1秒内），虽然我没认真看，但是从日志可以印证我的猜想（少部分是启发+AGEN）

XPACK.xxxx 为什么是拉黑报法？我没有查到任何相关说明诶……望告知

看下日志，只有两个S 是XPACK的报法
====================

如果真的是云拉黑的话：


这些样本很多是从#macro #generated-doc #js里跑出来的，因为这些loader的传播性高，相对衍生物也是属于流行度较高的样本；不能排除AVIRA确实有监控我收集的毒源，但也不能排除说是红伞对未知样本采取的自动上传策略所导致的。
====================

红伞的报毒名/分类其实不会很多，云报法基本上是 类型.abcde  从这几次双击来看，类型应该最对只有8种左右

所以我比较认同B大的看法：APC有个/几个 静态检测模型 用来在短时间内对样本进行识别分类

看了下NightVision白皮书，好像也没写什么，完全就是个黑箱……


====================
今天测试时我会注意下
====================

我去问下源，看看有没有和红伞有什么合作关系

ELOHIM

191196846 发表于 2018-6-13 07:48
我昨晚有观察了下

不管是S还是M，绝大部分样本双击之后都有明显的上传行为（流量监控），暂时看不出来 ...

重点在最后一句……

XZ8SM7Sx0bVkoUV

火绒

Jerry.Lin

，就一个. 发表于 2018-6-12 21:19
迈克菲  2018年6月12日20:54:15
扫描成绩
Samples18/25 + 6/25M_Samples = 24/50

突然想到个问题

咖啡的Real Protect是本地的还是基于云的等行为分析？

，就一个.

191196846 发表于 2018-6-13 11:48
突然想到个问题

咖啡的Real Protect是本地的还是基于云的等行为分析？

本地和云都有
一般都是先触发本地 再触发云以MES为例直观一点，基于本地客户端的扫描需要手动开启  个人版无进阶设置界面，所以安装后默认同时开启

，就一个.

191196846 发表于 2018-6-13 11:48
突然想到个问题

咖啡的Real Protect是本地的还是基于云的等行为分析？

既然你感兴趣 给你说明白一点


根据官方的说明


Real Protect不依赖于任何单一的机器学习算法，而是使用来自监督式和无监督式机器学习类别的算法集合。


Real Protect使用静态和动态程序属性来精确表征程序行为。

Real Protect 的动态分析则采用静态代码分析所采用的同样的无特征码的机器学习技术，将其应用于实际行为。


将机器学习过程放到云端不仅使我们可以了解不断变化的程序行为，同时频繁更新学习的模型，更使得我们可以检测并监视病毒作者频繁测试自己作品并试图躲避Real Protect检测的企图。


如果黑客通过精心设计，利用合法应用来发动攻击（比如：隐藏在合法 Word 文档里宏命令的网络钓鱼攻击等，国产的叫白加黑），哪怕是最优秀的纯静态分析防御也无法捉到它。

如果一个未知的可执行的“灰色代码”可以通过Real Protect 的静态分析检测和其它防御，但终端依然认为它是可疑代码，则就会触发 RealProtect 动态分析。终端会将这个代码在一个可控且被监控的环境中运行，Real Protect 动态分析将会密切扫描该应用的行为，并将其回报给云端进行分析。随后在 Real Protect 的静态分析中，系统将该灰色代码的行为与收集自 McAfee GTI 和其它来源的数以百万计的已知恶意软件样本进行比对。如果该行为符合已知恶意行为的范畴，如删除子进程、覆盖文件以及更改注册表等已知的恶意行为，将会立即通知终端并采取行动来拦截该威胁，而这一过程仅需要几秒钟。


Real Protect还与反恶意软件扫描仪进行合作以改善分类。一旦Real Protect作出“定罪”决定，它会阻止程序并自动“回滚”恶意软件造成的副作用。此外，反恶意软件扫描器可自动“清除”系统中检测到的任何复杂寄生病毒感染。


可以看出 Real Protect 使用的也是Machine-Learning 并且本地跟云都有利用，并且还有回滚功能，并且也可以像其他智能主防一样通过不定期的更新来改进，比如昨天我的Real Protect内容日期是3月20号，今天早上就更新到6月12日的版本。

YU2711

，就一个. 发表于 2018-6-13 12:32
本地和云都有
一般都是先触发本地 再触发云以MES为例直观一点，基于本地客户端的扫描需要手动开启  个人 ...

那他个人版跟企业的主防会差很多吗