搜索
查看: 1043|回复: 13
收起左侧

[讨论] 高级启发式是主动防御的变形吗

[复制链接]
路的吸引
发表于 2020-9-24 20:02:37 | 显示全部楼层 |阅读模式
高级启发式是主动防御的变形吗,他们好像,我在想把主动防御可以用在杀毒上的问题时,想出来的东西像一个已经存在的东西。一个主动防御可以将加载的东西进行分析,而想让主动防御这种能发现未知病毒的方法不被动识别,而是主动识别,那么可以在虚拟机中运行,咦,发现了吗,这不就是高级启发式吗,网上形容的高级启发式和主动防御很像,而且百度百科上说高级启发式其实是一种主动防御,这形容的难道是实质而不是形式?
swizzer
发表于 2020-9-24 22:43:50 | 显示全部楼层
如果你说的高级启发式=动态启发,那么和主防"扫描的东西"是一样的。

然而因为环境有别,两者往往有不同的识别模型——毕竟动态启发无法完全仿真操作系统。
欧阳宣
发表于 2020-9-25 01:52:57 | 显示全部楼层
动态启发就做到了全真模拟的话 主防确实没必要了

但是如果把所有系统函数都在监控层面跑一遍 电脑会炸的

下载10个exe 结果这10个exe还没双击就已经都在内存里跑起来了 你觉得这现实吗
路的吸引
 楼主| 发表于 2020-9-25 11:48:27 | 显示全部楼层
欧阳宣 发表于 2020-9-25 01:52
动态启发就做到了全真模拟的话 主防确实没必要了

但是如果把所有系统函数都在监控层面跑一遍 电脑会炸的 ...

就是说现在主防还是比动态启发的未知病毒的识别率高是吗
ccboxes
发表于 2020-9-25 15:18:51 | 显示全部楼层
本帖最后由 ccboxes 于 2020-9-25 15:41 编辑
路的吸引 发表于 2020-9-25 11:48
就是说现在主防还是比动态启发的未知病毒的识别率高是吗

实际上论坛里长期以来把各种理论混杂不清。

主动防御的对面是被动防御,也就是说主防实际上是指能够防御hash库中没有的全新病毒的技术。从这个定义来看,各种启发式技术都可以算作主动防御,只要它们不依赖传统的hash特征库,并能检测hash库中没有的病毒。而如果不依赖签名,该怎么识别病毒?实际上就只有一种方式,通过分析病毒的指令,也就是行为来识别,所以主防也可以说是依赖行为库来查杀病毒的技术。如何获取病毒的行为,就是各种主防的区别所在。

但论坛里说的主防,实际上指的是执行后防护中的行为防护,依靠内核或者用户态hook来获知可疑程序实际行为来判断黑白。主要是因为在零几年病毒分析技术不怎么样,除了实际跑起来,没有啥靠谱方式可以获取病毒的实际行为,造成能用的主动防御基本都是行为防护的现象,结果定义就这么混淆了。

所以高级启发式算不算主防,要看你的定义,如果是论坛里常说的主防,那当然不算,高级启发式分析进行时,可疑文件并没有执行。如果是广义的主防,高级启发式分析的情况比较复杂。高级启发式分析无疑是依靠分析可疑文件的行为(由于是静态分析,准确的说是指令)来查杀病毒的,但可能为了减少误报,ESET并没有给它提供泛化的“通用行为库”,而是对每个病毒家族单独分析,建立分别的行为特征库。这就导致高级启发式局限于检测已知病毒和它们的变种,对于库中没有的病毒家族无能为力。

ESET的特点是低误报、分类准、查杀变种强、但对全新病毒表现不佳,这与高级启发式分析的特点几乎一样,实际上我怀疑ESET已经用高级启发式分析完全代替了传统的hash分析,hash库里可能就只剩紧急拉黑的全新病毒的hash了。


评分

参与人数 6人气 +15 收起 理由
电脑发烧友 + 3 版区有你更精彩: )
c68111c + 2 很给力!
swizzer + 3 精品文章
辔繇 + 3 赞一个!
anthonyqian + 1 感谢解答: )

查看全部评分

hup
发表于 2020-9-25 16:47:51 | 显示全部楼层
欧阳宣 发表于 2020-9-25 01:52
动态启发就做到了全真模拟的话 主防确实没必要了

但是如果把所有系统函数都在监控层面跑一遍 电脑会炸的 ...

那个很吃配置
zandalong
发表于 2020-9-25 16:58:01 | 显示全部楼层
广义上来说都属于行为分析的领域。
主动防御,是通过程序运行之后的一系列行为来判定是否有害,本身并不虚拟化。也就是说,恶意软件不运行,主动防御本身是不杀的,要靠本地监控是查杀;
高级启发,一般指动态启发,大多数情况下是和本地监控集成在一起的,程序下载到本地之后,本地监控在对比静态病毒库之后,还会调用动态启发通过虚拟化模拟运行之后的一系列行为来进行判定,有害则杀。也就是说,恶意软件即使不运行,也就是会被杀。
Dinjapc
发表于 2020-9-25 21:49:33 来自手机 | 显示全部楼层
以前沒有雲 強調在前攝式的保護。也就是關鍵報告的概念
欧阳宣
发表于 2020-9-25 21:52:03 | 显示全部楼层
路的吸引 发表于 2020-9-25 11:48
就是说现在主防还是比动态启发的未知病毒的识别率高是吗

我没有这么说 我上面没有一句提到检测率 我不知道你咋得出这个结论的

基于运行后的行为检测以及动态启发这两者做到检测率很高都是可实现的 但是现在没有把宝押在动态启发上的厂家

我一直在谈保持检测率前提下的性能影响 脱离性能影响谈检测率确实是在耍流氓 现在就算行为检测也不是香饽饽了 机器学习才是 因为机器学习能做到又是静态分析检测率又很高 是个避开前两者对性能影响的捷径 所以是个有牌面的厂家 无论大小都在做机器学习 机器学习的弱点拿白名单也能很省事地避免
路的吸引
 楼主| 发表于 2020-10-12 11:48:45 | 显示全部楼层
欧阳宣 发表于 2020-9-25 21:52
我没有这么说 我上面没有一句提到检测率 我不知道你咋得出这个结论的

基于运行后的行为检测以及动态启 ...

我觉得完整性主防具有完全的完整性,而高启只是模拟了一点,如果提高灵敏度只会增加误报,这是我的理解。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-10-21 15:18 , Processed in 0.109307 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表