Samples

B100D1E55

www-tekeze 发表于 2018-8-12 23:24
你看下刚才这个帖，火绒scan miss，但双击很快就报毒，火绒的系统加固 (单步主防吧)、规则都是强大的武器 ...

嗯，不过两个监控同处一个系统很蛋疼，况且两个都是动启引擎，只能舍弃其中一个了。拿eset当绿色扫描器也行啊

www-tekeze

B100D1E55 发表于 2018-8-12 23:26
嗯，不过两个监控同处一个系统很蛋疼，况且两个都是动启引擎，只能舍弃其中一个了。拿eset当绿色扫描器也 ...

哈哈，没这个意思。。。虽然都是动启，但ESET还是强多了，何况还有云、AI等等。。。

我现在用火绒和智量搭配已经一个月了，感觉效果蛮好，优势不重复、劣势互补，真有点1+1=2的赶脚，智量的AI、ML检出率够高 (当然误报多些)，漏掉的有火绒的主防、规则来拦截。而且智量不加驱，潜在的冲突包括与OS的冲突也会较少。。。

B100D1E55

www-tekeze 发表于 2018-8-12 23:38
哈哈，没这个意思。。。虽然都是动启，但ESET还是强多了，何况还有云、AI等等。。。

我现在用火绒和智 ...

我个人觉得智量现阶段这样的误报率还是很难上实战，这种ml引擎某种程度上误报比检出率更成问题。当然你也看见了Symantec的ml，Cylance这种报得鬼哭狼嚎的引擎居然也都敢投入production，大概大部分用户真的对误报耐受度很高吧。。。。

www-tekeze

B100D1E55 发表于 2018-8-12 23:44
我个人觉得智量现阶段这样的误报率还是很难上实战，这种ml引擎某种程度上误报比检出率更成问题。当然你也 ...

我上传了二十多个破解、绿色的，现在也没解除，应该说误报是比较高，但我觉得没太大问题，估计是针对国区情况大量加白过，比Cylance强得太多，你可以装个智量试试就清楚了。。。

www-tekeze

B100D1E55 发表于 2018-8-12 23:44
我个人觉得智量现阶段这样的误报率还是很难上实战，这种ml引擎某种程度上误报比检出率更成问题。当然你也 ...

智量官人说过是静启，提取的是基因码，象修改MD5、加个简单的UPX壳，根本蒙蔽不了它，这方面估计比Cylance也强吧？但我没对比过，不清楚。。。

B100D1E55

www-tekeze 发表于 2018-8-13 00:04
智量官人说过是静启，提取的是基因码，象修改MD5、加个简单的UPX壳，根本蒙蔽不了它，这方面估计比Cylanc ...

基因码这种称呼太笼统了……其实这类表层引擎就是靠统计信息，比如n-gram，IAT，byte-count，PE section这种特征提取了之后学习。简单的改md5肯定不会过（末尾少量pad、移动少数section之类的，毕竟宏观统计结果不变），但是针对性加入混淆的二进制数据就可能过了。之前Cylance/SentinelOne我测试的时候尝试不改变程序功能，然后里面恶意填随机数或者pad bytes就会出现填一些报毒--再填一些不报毒--再填一些又开始报毒这种神奇的变化。所以表层引擎不是万能的，照样能被针对性对付，只是当今对付的人并不算太多。而且个人觉得这种对抗成本更低，因为无需涉及源码的免杀，直接binary加混淆就行（当然不排除他们后来能开发出对抗这类混淆的方法就是了）相对来说火绒ESET这种才算真的基因提取，因为提取的是程序的实际行为，靠表层加无用的二进制数据不是那么容易过的。智量也类似Cylance这种引擎……此外这种引擎的误报是顽疾，平时常见程序可能遇不上，但一旦用了什么企业内部管理工具、用户量少的专业软件（工控系统之类的）很多就开始放飞自我误报了

其实这种引擎是个大厂都有，除了各家调试的精准度不同之外，唯一的区别是有的厂敢直接下放到客户端作为侦测引擎，而有的厂不敢，只将其作为后台鉴定的参考之一，还需要其他引擎一同投票才能出最终结果

www-tekeze

B100D1E55 发表于 2018-8-13 00:18
基因码这种称呼太笼统了……其实这类表层引擎就是靠统计信息，比如n-gram，IAT，byte-count，PE section ...

我是干硬件的 (仪器仪表类)，对软件方面太深的真不懂，看完你的解释我相信没错，我虽然用了一个月，但看到的很多只是表象。。。前面说过，智量针对国区相信做了特别处理，反正太大问题确实没发现，当然我装的软件种类很有限，说明不了太多问题。。。

WhiteCruel

B100D1E55 发表于 2018-8-12 23:14
从这段时间测试国内黑产情况来看，ESET云端检测率>>现阶段火绒检测率，有不少易语言程序就算关了易语言通 ...

我记得火绒好像无法完全关闭吧？总会有一个无法结束的服务进程，这样当扫描器没问题吗？

ESET小工具里的全球真实病毒情况（就是那个世界地图）每天都有更新中国地区的感染情况，不知道这些数据是不是客户端收集的，我猜测装机量应该不是特别低(?)。但是随着越来越多的新病毒使用各种混淆免杀等高级反检测技术手段，加上有一些样本具有较高隐秘和低广度的特性，让杀软做出快速响应的确是个难题，特别是ESET这种不喜欢“草率拉黑了事”的杀软。不可否认ESET的扫描引擎确实有它的过人之处，但也有它的局限性，所以我认为为了应对每天层出不穷的病毒威胁，ESET未来在个人产品中加入类似DTD的“未知文件快速鉴定技术”是势在必行的。期待ESET大发慈悲的那一天。

顺便说下，你发的样本目前个人版只报了0号包里的1号，还是FlyStudio报法。。。

B100D1E55

WhiteCruel 发表于 2018-8-13 00:36
我记得火绒好像无法完全关闭吧？总会有一个无法结束的服务进程，这样当扫描器没问题吗？

ESET小 ...

我也希望他们能进一步提高响应速度，不过鉴定精度和速度很多情况下难以兼得……因此客户快速响应还需要其他新技术加持估计。

至于这些样本的响应速度……我去拍个砖吧

BeatTrojan

B100D1E55 发表于 2018-8-13 00:18
基因码这种称呼太笼统了……其实这类表层引擎就是靠统计信息，比如n-gram，IAT，byte-count，PE section ...

1. 什么是表层，深层引擎？表层和深层的分界线是什么?

比如识别人脸，光看额头肯定不行，如果只提取额头的特征，应该算浅层。
但是如果识别人脸的每一寸皮肤呢，这么高的维度还算浅层吗? 如果再卷积降一下维，也可以用在实战中。
深层不会是要把人脸剖开识别里面的头骨和鼻骨吧？

个人认为不要严格的区分深层和浅层，浅层可以依靠维度提升获得广度。

2. CPU虚拟机不好绕过，而AI很好绕过？

CPU虚拟机是一项很有用的技术，但是也能被绕过，成本也不高，Windows那么多API不是都会被模拟的，光一个GetUserName函数可以干掉一大票虚拟机，更别说代码延迟执行了。黑客也不用自己去开发，有相应的lib可以无缝嵌入自己的程序中，用的时候先调用lib里面的函数即可.

而智量针对Adversarial Malware Samples有相应的防护，当然也不是不能被绕过，只不过对比其它ML引擎可能稍微难一点。

3. 大厂都有ML, 而智量无知者无畏?

ML不是阳春白雪, 不是什么数学家拍拍脑袋, 用个sklearn再找个数据集搞搞就行。研究和实战有一条巨大的鸿沟。
ML现在实质是工程问题, 都是脏活累活, 比如:

1. 提取的特征是否能恰当描述物体的特征？
2. 特征多了需要舍弃，少了需要增加，增加什么，舍弃什么?
3. 样本太少无法描述，太多需要先聚类，并且聚类和分类的特征还不能一样!
4. 某些样本黑白数量差距太大？
5. 云端AI要好一点，不用考虑资源占用。而本地就是另外一回事了，模型越大占用的资源越多, 需要压缩。
如何用几M的模型描述上千万Malware的特征？

智量已经尽力在前面的阶段避免误报问题了，把白名单当作最后的手段。但是误报肯定不如特征码引擎了，这一点我们会持续努力.