本帖最后由 wangkaka 于 2018-7-23 13:34 编辑
大小a融合到现在也有一年时间了,很多人直观上感觉除了idp,似乎avast并没有什么大的变化。但通过我最近测试样本来看,avast的检测引擎和几个月前相比,变化很多。
1.如果有人经常在样本区测试小a的话,会发现以前小a的大杀器,支撑小a的evo-gen启发似乎完全在扫描当中销声匿迹了。这个启发经我和B100D1E55大佬讨论认为是一个包含大量通过机器提取特征的knn模型,真要说的话其实也可以算是现在炒的火热的机器学习引擎。然而从最近5个月开始,evo-gen报法慢慢的消失于视线,变得越来越少。evo-gen的特征库文件从2015-2017的5-7mb,迅速增加到目前的10mb以上,且最近库文件体积每天都在不断变化(增大减小都有,调整十分迅速)。虽然库大了,但检测率却几乎为0了,我目前的测试表明,只有某些加了特殊混淆器的样本以及所有的易语言文件 才会触发扫描时的evo-gen报法(注意这个扫描时)。
易语言报毒:
2.现在小a扫描时的静态启发基本由以前avg的启发所代替,报法为xxx-Dh-A[heur]这种。如图:
3.但小a就真的开始完全缩减evo-gen报法了么?发展了近7年的启发就这样放弃了么?当然不是,不然还保留10mb大小的库文件干嘛。其实现在小a是将evo检测放入了deepscreen中,也就是一直为人诟病的15秒沙盘扫描。小a的dp沙盘大致发展流程:
①起初就是一个二进制模拟沙盒,应该是avast7开始有的。 ②avast2014发展为deepscreen,变成VT硬件虚拟化的自动判定沙盒。 ③2015融入vb虚拟机,也就是当时吐槽的ng安全的虚拟机这一选项。 ④2016年抛弃ng虚拟机,保留本地15秒扫描,加入CyberCapture云端验证(蛋疼的是,每次几乎都要验证一天,期间文件被封锁)。
⑤合并evo检测,这也就是现在扫描不怎么看到evo检测的原因,不是削减了,而是逐渐融入dp模块了。
最近测试时我发现dp检测率急剧提升,而且大部分报毒名都是DS#evogen||algo这种,以前dp报毒都会有明确毒名,例如:DS||inject,或者dyna||backdoor这样。可以看出evo这一静态检测技术被放置在了dp虚拟沙盘中了。图例:
这一报法必须联网才有,可以看出是云联动的,断网测试则不会出现(deepscreen断网下可以通过在u盘运行文件强制触发)。
“也有可能开始学红伞,dp运行的时候把feature vector传服务器的模型鉴定?毕竟dp要运行15秒query一下服务器绰绰有余了 ”
“我觉得如果小a把evo从扫描移到dp也不大可能是误报,而是希望dp能提取出更多feature来匹配evo的特征。毕竟小a没有eset那种级别的仿真引擎 ”
我个人觉得应该还是有误报方面的考虑,毕竟用过的都知道evo误杀很严重。然而无论怎样,evo融入dp中两者威力都大幅增强了,样本区测试可以很明显看到这一点。
小a的检测技术还是在不断变化的,期待小a能够把自己的自动沙盒路走下去,并融入更多技术。就像B100D1E55大佬观点所说:
“我倒是觉得dp很重要,idp之类的主防环节其实已经是没办法的办法了,因为能够被各种绕过并且不能保证能清除所有的side-effect。杀软这种东西永远是先杀后防,最佳情况是实机运行前就能阻挡。一旦毒实机运行起来了后续基本是凶多吉少。”
| 
发表于 2018-7-23 12:54:29
楼主
,有点类似通用gen查杀。但对于全新的毒,扫描监控时的evo部分已没有了“启发式”这一作用。这一部分已经开始移到dp扫描中了。
