研究人员发现绕过Cylance Protect的简单方法

显示全部楼层 · 发表于 2019-7-19 22:19:12

Picca 发表于 2019-7-19 17:52
Cylance的风评好像一直都不太好

早年PR搞了很多宣传花招和噱头，而且到处树敌，实际成绩出来也就那么一回事。不过类似公司资本上倒似乎是越来越滋润，比如CrowdStrike

显示全部楼层 · 发表于 2019-7-19 22:24:40

本帖最后由 B100D1E55 于 2019-7-19 22:42 编辑

你好，再见发表于 2019-7-19 14:58
谁来试试绕过“使用了当今世界上最先进的AI人工智能查毒技术的宇宙霸主智量”？？？

哈哈你完全可以搞一个帖测试

。根据我以前随便测的那些NGAV结果，开个hex编辑器随便填填区段数据，换换PE资源，改改字符串，改改IAT之类还是很有潜力的。我倒是想测一下他们那个主防，不过最近没工夫搞……虽然统计学上来说NGAV静态检测效果看上去很不错，我现阶段还是不大信这些东西
其实我想吐槽的是他们居然还把引擎打分明示了，按理来说这种模型对抗比较忌讳的就是给攻击者直接反馈，分数公布一下肯定是怎么打分高怎么改

显示全部楼层 · 发表于 2019-7-19 22:28:07

HEMM 发表于 2019-7-19 13:06
现在都讲究....复合，多重啊什么的，单一被针对的可能性较高，纯魅力属性很难走.....

对的，搞多模型提高对抗难度是大势所趋

显示全部楼层 · 发表于 2019-7-19 22:29:13

B100D1E55 发表于 2019-7-19 22:15
不难，其实VT上几乎所有引擎普通扫描绕过对菜鸡来说都不难。就这篇文章里提到的也是相当基础且老套的手段 ...

“这里主要是啪啪打脸那些把这种检测技术吹嘘的神乎其神的公司“你这句话让我想起了某某厂商~~

显示全部楼层 · 发表于 2019-7-19 22:41:11

小新爱打小怪兽发表于 2019-7-19 22:29
“这里主要是啪啪打脸那些把这种检测技术吹嘘的神乎其神的公司“你这句话让我想起了某某厂商~~

“不要承诺自己能力范围外的事情”，不过很多情况下就算实际做事的工程师想这么做公司也不会让他们说实话的

显示全部楼层 · 发表于 2019-7-19 22:55:13

B100D1E55 发表于 2019-7-19 22:28
对的，搞多模型提高对抗难度是大势所趋

大厂也就几层。不过国内的一个监控或者扫描都可以吹成是十几层防御……

显示全部楼层 · 发表于 2019-7-20 00:32:14

我前几天又装了一遍然鹅实在是太难卸载了好不容易卸载之后就不敢再装

显示全部楼层 · 发表于 2019-7-20 03:44:57

欧阳宣发表于 2019-7-20 00:32
我前几天又装了一遍然鹅实在是太难卸载了好不容易卸载之后就不敢再装

是的，很多企业版并没有这么别扭的卸载流程

显示全部楼层 · 发表于 2019-7-20 03:45:51

klinxun 发表于 2019-7-19 22:55
大厂也就几层。不过国内的一个监控或者扫描都可以吹成是十几层防御……

大厂每层做得比较细致，BD云端几十个模型是没差了

显示全部楼层 · 发表于 2019-7-20 05:21:10

直接利用CPU做点文章更好体现暴力美学。
抛开CPU，在RING0这个层面来说，某些大厂的杀软，如果想要绕过或者对抗它们，64位系统反而成了助力的神器，并不需要采用其他什么针对性方案。

[转帖] 研究人员发现绕过Cylance Protect的简单方法

评分

评分