动态威胁防御引擎细节

显示全部楼层 · 发表于 2018-8-25 11:41:34

B100D1E55 发表于 2018-8-23 11:07
12的话我还没看到相关消息，因为我主要在企业版测试，所以消费者版区关注的比较少，可能驭龙消息更灵通一 ...

才发现B大进入病毒测试组了，恭喜

显示全部楼层 · 发表于 2018-8-25 11:56:35

WhiteCruel 发表于 2018-8-25 11:41
才发现B大进入病毒测试组了，恭喜

不知道能有多少时间花在病毒测试上，现在样本收集都是靠191196846撑着感觉有点对不住

显示全部楼层 · 发表于 2018-8-26 00:30:57

B100D1E55 发表于 2018-8-25 11:56
不知道能有多少时间花在病毒测试上，现在样本收集都是靠191196846撑着感觉有点对不住

哈哈，他们坚持每天发样本包也真是有毅力

显示全部楼层 · 发表于 2018-8-26 12:29:48

B100D1E55 发表于 2018-8-24 22:39
这点的确是比较尴尬，不过易语言其他家族（hackertool，injector，非AA packer）倒是还能检出。我之前收 ...

易语言的一些特性使得分析比较麻烦

这就是一些厂商比如大数字对易语言检出变态严的原因？？？

显示全部楼层 · 发表于 2018-8-28 02:56:00

PanzerVIIIMaus 发表于 2018-8-26 12:29
这就是一些厂商比如大数字对易语言检出变态严的原因？？？

易语言的一些特性和一些病毒用的混淆器差不多，自动化分析困难，本身生态也比较小黑产多，因此有的厂商直接报毒（和报壳理由类似）
当然上述这种还算好的，报毒名有助于用户知道报毒理由。其他有的估计是分拣的时候特征提错了把易语言本身特征当成毒。比如vt上有见过把正常易语言误报成password stealer，猜测是厂商先遇到了一个易语言编写的password stealer，提特征的时候却提取了易语言程序共有特征。而有一些黑箱分拣模型训练的时候也容易把易语言特征错误提取为广谱特征，我估计是因为缺乏海量易语言黑白样本进行训练，当然这只是猜测
最后，有一些动不动就借鉴其他家报毒来提高自己检出的就更是这样……

显示全部楼层 · 发表于 2018-8-28 18:07:52

B100D1E55 发表于 2018-8-28 02:56
易语言的一些特性和一些病毒用的混淆器差不多，自动化分析困难，本身生态也比较小黑产多，因此有的厂商直 ...

受教了

显示全部楼层 · 发表于 2018-9-11 14:50:27

学习一下

显示全部楼层 · 发表于 2018-9-12 13:28:12

WhiteCruel 发表于 2018-8-23 09:30
前排支持，但愿个人版后续能添置类似DTD的检测手段

对了B大，ESET 12有消息了吗？前几天忘 ...

v12有消息了哦

显示全部楼层 · 发表于 2018-9-14 13:29:46

B100D1E55 发表于 2018-9-12 13:28
v12有消息了哦

抱歉回复晚了，最近工作比较忙，电脑都没怎么碰过

ESET12 真的有消息了？！我读书少，你不要骗我

[分享] 动态威胁防御引擎细节