查看: 3917|回复: 14
收起左侧

[技术原创] 小a检测技术的变化

[复制链接]
wangkaka
发表于 2018-7-23 12:54:29 | 显示全部楼层 |阅读模式
本帖最后由 wangkaka 于 2018-7-23 13:34 编辑

    大小a融合到现在也有一年时间了,很多人直观上感觉除了idp,似乎avast并没有什么大的变化。但通过我最近测试样本来看,avast的检测引擎和几个月前相比,变化很多。
    1.如果有人经常在样本区测试小a的话,会发现以前小a的大杀器,支撑小a的evo-gen启发似乎完全在扫描当中销声匿迹了。这个启发经我和B100D1E55大佬讨论认为是一个包含大量通过机器提取特征的knn模型,真要说的话其实也可以算是现在炒的火热的机器学习引擎。然而从最近5个月开始,evo-gen报法慢慢的消失于视线,变得越来越少。evo-gen的特征库文件从2015-2017的5-7mb,迅速增加到目前的10mb以上,且最近库文件体积每天都在不断变化(增大减小都有,调整十分迅速)。虽然库大了,但检测率却几乎为0了,我目前的测试表明,只有某些加了特殊混淆器的样本以及所有的易语言文件才会触发扫描时evo-gen报法(注意这个扫描时)。
易语言报毒:


    2.现在小a扫描时的静态启发基本由以前avg的启发所代替,报法为xxx-Dh-A[heur]这种。如图:



    3.但小a就真的开始完全缩减evo-gen报法了么?发展了近7年的启发就这样放弃了么?当然不是,不然还保留10mb大小的库文件干嘛。其实现在小a是将evo检测放入了deepscreen中,也就是一直为人诟病的15秒沙盘扫描。小a的dp沙盘大致发展流程:
起初就是一个二进制模拟沙盒,应该是avast7开始有的。
avast2014发展为deepscreen,变成VT硬件虚拟化的自动判定沙盒。
2015融入vb虚拟机,也就是当时吐槽的ng安全的虚拟机这一选项。
④2016年抛弃ng虚拟机,保留本地15秒扫描,加入CyberCapture云端验证(蛋疼的是,每次几乎都要验证一天,期间文件被封锁)。
⑤合并evo检测,这也就是现在扫描不怎么看到evo检测的原因,不是削减了,而是逐渐融入dp模块了。
   
    最近测试时我发现dp检测率急剧提升,而且大部分报毒名都是DS#evogen||algo这种,以前dp报毒都会有明确毒名,例如:DS||inject,或者dyna||backdoor这样。可以看出evo这一静态检测技术被放置在了dp虚拟沙盘中了。图例:

这一报法必须联网才有,可以看出是云联动的,断网测试则不会出现(deepscreen断网下可以通过在u盘运行文件强制触发)。
对于这一点B100D1E55大佬的观点是:
也有可能开始学红伞,dp运行的时候把feature vector传服务器的模型鉴定?毕竟dp要运行15秒query一下服务器绰绰有余了

我觉得如果小a把evo从扫描移到dp也不大可能是误报,而是希望dp能提取出更多feature来匹配evo的特征。毕竟小a没有eset那种级别的仿真引擎

我个人觉得应该还是有误报方面的考虑,毕竟用过的都知道evo误杀很严重。然而无论怎样,evo融入dp中两者威力都大幅增强了,样本区测试可以很明显看到这一点。
    小a的检测技术还是在不断变化的,期待小a能够把自己的自动沙盒路走下去,并融入更多技术。就像B100D1E55大佬观点所说:
我倒是觉得dp很重要,idp之类的主防环节其实已经是没办法的办法了,因为能够被各种绕过并且不能保证能清除所有的side-effect。杀软这种东西永远是先杀后防,最佳情况是实机运行前就能阻挡。一旦毒实机运行起来了后续基本是凶多吉少。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 8人气 +8 收起 理由
ewader + 1 第一分 送给你
HEMM + 1 嗯.........
B100D1E55 + 1 滋磁
renyifei + 1 版区有你更精彩: )
Sailer.X + 1 版区有你更精彩: )

查看全部评分

wangkaka
 楼主| 发表于 2018-7-23 17:50:25 | 显示全部楼层
本帖最后由 wangkaka 于 2018-7-23 17:58 编辑

文中主体忘了说一点了,现如今扫描监控方面还是有evo-gen报法存在的,但已经不负责未知威胁的检测,其主要任务是缩减病毒库,也就是一些老毒旧毒及某些家族性明显但变种过多的毒的通杀,还有各种未知可疑壳以及所有的易语言,有点类似通用gen查杀。但对于全新的毒,扫描监控时的evo部分已没有了“启发式”这一作用。这一部分已经开始移到dp扫描中了。
Sailer.X 该用户已被删除
发表于 2018-7-23 16:10:45 | 显示全部楼层
你成功地让我回归小a了
cloud01
头像被屏蔽
发表于 2018-7-23 16:20:59 | 显示全部楼层
越来越发现ESET 高启发和HIPS结合的明智了。
迷惘的执著
发表于 2018-7-23 16:36:46 | 显示全部楼层
deepscreen和idp有啥区别
wangkaka
 楼主| 发表于 2018-7-23 17:54:38 | 显示全部楼层
霄栋 发表于 2018-7-23 16:10
你成功地让我回归小a了

小a目前还是有不少bug的,我遇到的就是每次升级后全盘扫描和自定义扫描按钮显示缺钱字体文件不过没有影响效果和性能的bug就是了
wangkaka
 楼主| 发表于 2018-7-23 17:56:15 | 显示全部楼层
迷惘的执著 发表于 2018-7-23 16:36
deepscreen和idp有啥区别

dp是小a的vt虚拟化自动沙盒,用于文件运行前现在沙盒跑一下看有没有危害。idp是运行后的主防模块。
Sailer.X 该用户已被删除
发表于 2018-7-23 17:56:45 | 显示全部楼层
wangkaka 发表于 2018-7-23 17:54
小a目前还是有不少bug的,我遇到的就是每次升级后全盘扫描和自定义扫描按钮显示缺钱字体文件不过没 ...

刚换上小a,这些bug我还能接受,目前感觉还不错
wangkaka
 楼主| 发表于 2018-7-23 18:00:11 来自手机 | 显示全部楼层
霄栋 发表于 2018-7-23 17:56
刚换上小a,这些bug我还能接受,目前感觉还不错

其实不打开ui小a是没什么问题的,就是ui交互界面一堆问题。。。。只能说,祝你使用愉快。。
B100D1E55
发表于 2018-7-23 23:49:07 | 显示全部楼层
感谢小a死忠粉的update
突然意识到当时写反了,应该是先防后杀,先阻挡其次是本地运行查杀

被你这么一说我开始对小a有点兴趣了,打算先去小a论坛潜伏一下。感觉kafan上每一个牌子都应该要有一个死忠粉持续跟进自家的技术演进然后放论坛上分享哈
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 03:08 , Processed in 0.150107 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表