楼主: PanzerVIIIMaus
收起左侧

[讨论] 【ELG云玩家】ESET LiveGuard云玩家臆测

  [复制链接]
00006666
发表于 2021-11-12 16:59:23 | 显示全部楼层
anthonyqian 发表于 2021-11-12 16:43
ESET官方可是说过他们家的云沙箱是能100%检测威胁的魔盒哦

https://forum.eset.com/topic/28331-q ...

反沙箱暂时不谈,目前部分恶意软件需要手动操作才能展现有效行为的(类似于点击“下一步”按钮等),应该云沙箱就作用不大了吧。
anthonyqian
发表于 2021-11-12 17:27:47 | 显示全部楼层
00006666 发表于 2021-11-12 16:59
反沙箱暂时不谈,目前部分恶意软件需要手动操作才能展现有效行为的(类似于点击“下一步”按钮等),应该 ...

世界上压根就没有100%能判别病毒与否的自动系统,这位ESET管理员的说法太夸大了
PanzerVIIIMaus
 楼主| 发表于 2021-11-12 19:12:10 | 显示全部楼层
yinghua41 发表于 2021-11-12 15:42
剛開始的工具能有多好,只能慢慢改善產品。

樓主要不要多試幾個同類產品(殺軟)比較看看,好讓大家 ...

不会,我不会考虑大规模的测试
PanzerVIIIMaus
 楼主| 发表于 2021-11-12 19:47:52 | 显示全部楼层
本帖最后由 PanzerVIIIMaus 于 2021-11-12 20:06 编辑
00006666 发表于 2021-11-12 16:59
反沙箱暂时不谈,目前部分恶意软件需要手动操作才能展现有效行为的(类似于点击“下一步”按钮等),应该 ...

@anthonyqian

不管是反沙盒、超时执行还是交互化,本来就有不少的绕过和进行方法,我相信机学加持本身就是一个绕过和进行的方法,
机学嘛,根据公开资料大略最喜欢猜几种东西:哈希、图形、相似度
搞不好在遭遇特定的反沙盒、超时和交互化行为本身就能抬很多的风险分数,机学嘛,研究人员自己都未必知道会是什么结果(“为什么它能跑起来和为什么它跑不起来”研究人员版.jpg)
专用环境的样本这种沙盒必然也缺乏效果,机学肯定有学过这样的样本,但即便是机学来上……我觉得研究人员也在祈祷能杀……

还是要强调一下本帖整个帖子都是我的臆测


“魔盒”帖子的案例也很好地说明,ELG时间不足和报告的缩略是其最大牵掣,在这种限制下无论如何都无法缓解每个检测步骤所固有的缺陷,ESET宣称已经完成的时候,可能后台会重新分类样本(不一定要保留样本文件),重新报毒的情况很容易遇见
要是没有重新分类永远不报——那就是漏了呗

那位管理员的发言很显著是违背了ESET说明书开篇所提及“没有能100%消除渗透的系统”原则,他应该非常清楚,所以……我不确定他是不是根据帖子语境进行西式幽默/抖机灵

评分

参与人数 1人气 +1 收起 理由
zwl2828 + 1 理解满分。

查看全部评分

a8855942
发表于 2021-11-12 20:28:07 | 显示全部楼层
我还是挺喜欢这个云沙盒功能,BD企业版最好。
anthonyqian
发表于 2021-11-12 20:32:56 | 显示全部楼层
PanzerVIIIMaus 发表于 2021-11-12 19:47
@anthonyqian

不管是反沙盒、超时执行还是交互化,本来就有不少的绕过和进行方法,我相信机学加持本身 ...

语境里面应该不是开玩笑,我当时看到这个言论的时候是很震惊的,完全不敢相信是出自官人之口。
bbs2811125
发表于 2021-11-13 02:47:16 | 显示全部楼层
所以我可以理解成这个ELG提升不明显吗,那我就可以继续开心的白嫖EIS了
PanzerVIIIMaus
 楼主| 发表于 2021-11-13 03:01:23 | 显示全部楼层
bbs2811125 发表于 2021-11-13 02:47
所以我可以理解成这个ELG提升不明显吗,那我就可以继续开心的白嫖EIS了

如果你期望即时阻止新型威胁,估计只有企业级的EDTD才能达到相当水准
并不是ELG哪里放水,而是EDTD报告可察、阈值可调

但如果是作为增强型的传感器使用,相信会令人满意
bbs2811125
发表于 2021-11-13 03:02:58 | 显示全部楼层
PanzerVIIIMaus 发表于 2021-11-13 03:01
如果你期望即时阻止新型威胁,估计只有企业级的EDTD才能达到相当水准
并不是ELG哪里放水,而是EDTD报告 ...

没错,所以我还是继续EIS吧
yfdyh000
发表于 2021-11-13 07:36:20 | 显示全部楼层
https://help.eset.com/edtd/zh-CN/how_detection_layers_work.html
根据官方资料,ESET Dynamic Threat Defense 有四层。简单来说是脱壳和解压、机器学习、沙箱模拟、行为分析。

需要操作或特定环境的恶意软件,如果脱壳+模拟或者机器学习够给力,也能猜测未执行的特定段逻辑有危险行为。但是否报毒/误报就不一定了,因为一些未记录的合法软件也会有风险行为,包括加密并删除、键盘记录、监视屏幕等等。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 06:47 , Processed in 0.121059 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表