楼主: 代号SM18
收起左侧

[求助] 智量乱杀把笔记本无线给杀没了,坑惨了, 这辈子也不也用了。

  [复制链接]
idxzsthl
发表于 2020-12-24 21:18:11 | 显示全部楼层
00006666 发表于 2020-12-24 19:42
国内杀毒软件智量最强???

目前在已经被感染驱动级/rootkit级病毒的电脑上,没有比360系统急救箱更 ...

早 != 强
多 != 强
早 + 多 != 强
正相关 != 事实
误杀多 == 不够强
不进 == 则退
00006666
发表于 2020-12-24 22:04:24 | 显示全部楼层
本帖最后由 00006666 于 2020-12-24 22:27 编辑
idxzsthl 发表于 2020-12-24 21:18
早 != 强
多 != 强
早 + 多 != 强

智量何尝不是带壳学习,有什么区别?
带壳学习,学的黑白颠倒,这就是机器学习误报多的来源。

我一直就很好奇做机器学习/SVM的是怎么处理加壳程序的,像VMPSDK这种,不仅没有脱壳机,而且手工脱壳极其困难,智量又没有火绒那种动态启发通用脱壳,而且智量扫描完全依赖机器学习,这个误报不多才怪。


另外据360开发人员透露,现在360为了解决企业用户隔离网扫描问题,已经开始编写自主的轻量虚拟机动态启发引擎,目前已经写到可以运行了,不久后就会投入使用。

这里艾特下360工作人员

@360主动防御   希望360自主研发的动态启发引擎能够早日完成开发,投入使用

另外邀请下大佬帮我补充回答
@沧桑浪子  @lixihong10



YorkWaugh
发表于 2020-12-24 22:29:32 来自手机 | 显示全部楼层
idxzsthl 发表于 2020-12-24 21:18
早 != 强
多 != 强
早 + 多 != 强


呃。。。国内360的实力是不争的强大。。。这点无法否认。。。
00006666
发表于 2020-12-24 22:34:48 | 显示全部楼层
本帖最后由 00006666 于 2020-12-24 22:43 编辑
YorkWaugh 发表于 2020-12-24 22:29
呃。。。国内360的实力是不争的强大。。。这点无法否认。。。

360主要强在各方面都很平均,然后有几个地方特别突出。


而且360的白帽子团队很强大,有很多有名的高手。

比如像360冰刃实验室的pjf潘剑锋博士和360Vulcan团队的内核大佬MJ0011等等。


360冰刃实验室官网:
https://www.iceswordlab.com/

360核心技术博客:
https://blogs.360.cn/








swizzer
发表于 2020-12-24 22:41:27 | 显示全部楼层
本帖最后由 swizzer 于 2020-12-24 22:47 编辑
00006666 发表于 2020-12-24 22:04
智量何尝不是带壳学习,有什么区别?
带壳学习,学的黑白颠倒,这就是机器学习误报多的来源。

我也很好奇为什么总有人认为壳就应该脱掉

本身对于很多样本,混淆器就是一个很明显的静态特征。如果不允许把混淆器当做特征,那么火绒也该被批评,毕竟他也有Obfuscator报法;ESET也该批评,大部分都是Kryptik报法···所以直接带壳杀也并非无稽之谈,传统厂商也在做这事儿。

至于带壳程序的识别,我直接训练个专门针对壳的模型,对加壳白程序和加壳黑程序双向学习不就行了?壳再强也只是一种加密算法,同家族的恶意的样本在加壳后的二进制数据就算与正常程序相似,也绝不会比一个正常程序加壳后更与正常程序相似,那么我如果把加壳后的PE文件的二进制数据逐字节提取特征向量再训练模型、卷积降维,效果完全不劣于传统检测。不论检测率还是误报率。
即使是实战中不能这样,我也可以通过优化算法来最大化规避误报。
----------------------------------------

所有的检测手段,说到底都是统计学上的手段。动态启发的好处是信息噪声少,但这不意味着信息噪声更多的静态机器学习的误报就一定高得不可接受。具体取决于你对数据的处理。
----------------------------------------------


当然,目前机器学习对于加壳程序确实误报率不优于传统检测。但目前机器学习的误报完全可以接受。尤其是,如果你肯针对不同程序训练不同模型,那么他的误报还会低于传统特征。

我觉得您的观点片面在认为机器学习只有一个模型,因此在学习时具有片面性。那么,请看卡巴斯基的机器学习是如何做到查杀率之高与误报率之低都吊打火绒的传统特征的。如果您再了解到卡巴斯基的机器学习的模型之多(基本每个流行家族都有单独模型),我相信您会认识到机器学习面对带壳程序并非无法招架。

------------------------------------------------------








另外补充一下,机器学习不只有SVM(支持向量机)一种算法哦···360用的SVM在目前计算资源不再稀缺的情况下其实没什么优势(甚至是落后了)


你敢信我们学校极客社自己训练的CNN误报率都比360的QVM低吗···虽然检测率也比他低5%~8%左右···


评分

参与人数 1人气 +2 收起 理由
2483883670 + 2

查看全部评分

00006666
发表于 2020-12-24 22:49:06 | 显示全部楼层
swizzer 发表于 2020-12-24 22:41
我也很好奇为什么总有人认为壳就应该脱掉

本身对于很多样本,混淆器就是一个很明显的静态特征 ...

这种从数据角度而非代码的检测手段真的靠谱吗?

不说卡巴斯基和ESET

本人认为智量充其量就是SVM,而且训练集数量应该是远远不如360QVM


训练集数量对于机器学习的重要性应该您也是知道的吧
00006666
发表于 2020-12-24 22:51:29 | 显示全部楼层
本帖最后由 00006666 于 2020-12-24 22:53 编辑
swizzer 发表于 2020-12-24 22:41
我也很好奇为什么总有人认为壳就应该脱掉

本身对于很多样本,混淆器就是一个很明显的静态特征 ...

至少卡巴斯基不会查杀商业壳特征,我最近在样本区发的那几个都加了VMP3.5,很多机器学习的就会直接报毒,其实检测到的都是壳特征。
swizzer
发表于 2020-12-24 22:55:50 | 显示全部楼层
本帖最后由 swizzer 于 2020-12-24 23:00 编辑
00006666 发表于 2020-12-24 22:49
这种从数据角度而非代码的检测手段真的靠谱吗?

不说卡巴斯基和ESET

1.你错了,智量是GBDT。。。
2.你真的以为动态启发就靠谱···吗?
再怎么基于代码,要保证广谱性就必须引入一个算法来把API序列翻译为向量/图/etc,然后匹配已知特征···最终还是要绕回"相似程度"这个问题上。

更何况我说了,我只要逐字节提取特征向量,效果足以实现霸权。(当然实战中不会这么干,但动态启发也没有把程序行为展开完不是吗?)
说白了,你把一堆相似的样本扔一起然后对准某个角度看,都能看出一种特异的、有别于其他程序的相似性

数据集重要但也要看用的充不充分,而SVM的短板就是这个···

swizzer
发表于 2020-12-24 22:57:18 | 显示全部楼层
00006666 发表于 2020-12-24 22:51
至少卡巴斯基不会查杀商业壳特征,我最近在样本区发的那几个都加了VMP3.5,很多机器学习的就会直接报毒, ...

给个链接?

我想看看智量报不报。

另外,很多机器学习厂商都没有针对vmp做模型(说白了就是二流厂商),所以给机器学习"抹黑"了
swizzer
发表于 2020-12-24 22:59:19 | 显示全部楼层
753108284 发表于 2020-12-24 22:54
智量官方说可以回滚注册表,但我到现在还没发现

我这几天看看吧。

想找个这样的样本也不难。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 12:51 , Processed in 0.090426 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表