收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 一行代码让智量报毒
123下一页
返回列表 发新帖
楼主: B100D1E55
 收起左侧

[讨论] 一行代码让智量报毒

[复制链接]
B100D1E55
 楼主| 发表于 2021-7-17 08:07:21 | 显示全部楼层
swizzer 发表于 2021-7-17 07:28
这就有点离谱了…

虽然官人可能还是不会改

现阶段来看这个不算大问题。就像官人说的那样,这类文件本来就很罕见,基本就是撞特征了。实际使用不产生问题就行。我发这个贴主要也是因为测试的时候让我???了一下就论坛分享一下了
回复

举报

B100D1E55
 楼主| 发表于 2021-7-17 08:07:55 | 显示全部楼层
本帖最后由 B100D1E55 于 2021-7-17 08:29 编辑

发重了,编辑掉
回复

举报

B100D1E55
 楼主| 发表于 2021-7-17 08:28:18 | 显示全部楼层
本帖最后由 B100D1E55 于 2021-7-17 08:29 编辑
青山永恒 发表于 2021-7-17 07:21
人工智能引擎,误报问题都普遍存在,智量作为本地引擎,却采用MD5入库的方式,这是一个更大的问题,你可 ...

你指的是智量Generic的报法么?我智量测得很少,有空会看看的。感谢

改MD5的话BD臭名昭著的GenericKD也一样,不过的确一段一段时间会加通杀特征覆盖一下。小众的貌似有的就永远GenericKD留在那里了,因为行为特征也小众改一下MD5就全程过。卡巴的我没有追踪过。ESET除了obfuscator和个别Generik之外检测端貌似都是人肉一条一条通杀加规则,他们应该是恶意程序分拣和本地匹配模型分开做,因此本地检测非常可控,但是也有相应的问题……

智量研究不多,不过我个人猜测是他们会定期把那些拉黑的MD5拿去retrain模型,模型更新后MD5库就可以精简了。他们应该不是传统那种按照家族特征码通杀,而是一起batch retrain后让几个模型去覆盖那些样本以达到“通杀”。至于这种非定向的处理抗免杀怎么样值得测试。我觉得这也是为什么智量短期能把查杀拉这么高的原因之一,自动化成分很高……

我好奇的是拉黑+定期retrain这种模式遇到新型恶意程序短期突然爆发怎么破。retrain整个模型能跟上短期大量变种的涌现么。当年ccleaner突然出问题那时候Cylance就是全靠拉黑,AI模型更新没跟上,改改就过扫描了。
回复

举报

swizzer
发表于 2021-7-17 08:42:03 | 显示全部楼层
本帖最后由 swizzer 于 2021-7-17 08:45 编辑
B100D1E55 发表于 2021-7-17 08:28
你指的是智量Generic的报法么?我智量测得很少,有空会看看的。感谢

改MD5的话BD臭名昭著的GenericKD ...

然而那个并不是MD5拉黑···虽然抗免杀能力很低,但确实不是hash黑名单··

官方说是一种时间复杂度更低的传统特征码,但是没有更具体的技术细节。

至于响应速度,我觉得现在就能找到一个例子。智量的静态模型对于IRCbot似乎没有做过训练,https://bbs.kafan.cn/thread-2212599-1-1.html
这里面就是其他厂商都入了库,智量却没反应。如果IRCbot大量爆发,我想智量可能就扛不住。

回复

举报

B100D1E55
 楼主| 发表于 2021-7-17 08:56:17 | 显示全部楼层
本帖最后由 B100D1E55 于 2021-7-17 09:03 编辑
swizzer 发表于 2021-7-17 08:42
然而那个并不是MD5拉黑···虽然抗免杀能力很低,但确实不是hash黑名单··

官方说是一种时间 ...

我觉得是否MD5不是重点,主要还是看抗免杀能力。如果简单改MD5就能绕过那就跟MD5入库没什么两样……不过我感觉简单文件末尾加东西应该不会过,反倒容易触发报毒(像QVM那样)。改section之类的可能有戏。静态机学改这种东西,稍不留神就从拉黑变ML杀了
至于短期爆发这种,我觉得可能最后还是得加一个特征引擎……现在放眼望去传统大厂都加了ML引擎(虽然水平未知),NGAV厂商貌似加特征引擎的并不多
回复

举报

swizzer
发表于 2021-7-17 09:25:47 | 显示全部楼层
B100D1E55 发表于 2021-7-17 08:56
我觉得是否MD5不是重点,主要还是看抗免杀能力。如果简单改MD5就能绕过那就跟MD5入库没什么两样……不过 ...

是的。反正我overlay是绕不过智量的Generic报法的,改section倒是没试过

我觉得短期爆发也未必非要用静态特征,当年智量应对Emotet爆发的解决方案就是训练了个主防模型···而且响应速度很快,当天早上我向官人拍砖,晚上模型就推送到客户端了

大概官方说的“流式主防”,以秒为单位更新说的就是这样吧
回复

举报

anthonyqian
发表于 2021-7-17 18:00:00 | 显示全部楼层
B100D1E55 发表于 2021-7-17 08:28
你指的是智量Generic的报法么?我智量测得很少,有空会看看的。感谢

改MD5的话BD臭名昭著的GenericKD ...

BD的GenericKD改Hash过不了的呀,我试过很多次了。
回复

举报

B100D1E55
 楼主| 发表于 2021-7-18 01:07:58 | 显示全部楼层
anthonyqian 发表于 2021-7-17 18:00
BD的GenericKD改Hash过不了的呀,我试过很多次了。

改hash有很多方法
回复

举报

anthonyqian
发表于 2021-7-18 01:43:59 | 显示全部楼层
B100D1E55 发表于 2021-7-18 01:07
改hash有很多方法

好奇你是用哪种改hash的方法过了BD的GenericKD杀的
回复

举报

B100D1E55
 楼主| 发表于 2021-7-18 09:32:50 | 显示全部楼层
anthonyqian 发表于 2021-7-18 01:43
好奇你是用哪种改hash的方法过了BD的GenericKD杀的

你可以试试看论坛上的工具,说不定都可以
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-19 17:35 , Processed in 0.108605 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表