各家安软对于样本的检测方式【转载】

显示全部楼层 · 发表于 2022-6-5 01:34:09

仅供参考：

原帖地址：https://forum.butian.net/share/1514

显示全部楼层 · 发表于 2022-6-5 06:40:36

本帖最后由 00006666 于 2022-6-10 12:10 编辑

编辑

显示全部楼层 · 发表于 2022-6-5 13:27:18

谢谢分享

显示全部楼层 · 发表于 2022-6-5 15:46:11

大小A的检测技术比卡巴eset都多。。。。
醉了

显示全部楼层 · 发表于 2022-6-5 16:37:17

pal家族发表于 2022-6-5 15:46
大小A的检测技术比卡巴eset都多。。。。
醉了

pal大，测主防时，关掉杀软双击样本再立即把杀软打开的方法是正确的吗，我一直搞不准

显示全部楼层 · 发表于 2022-6-5 17:44:18

hipoxiaxxx 发表于 2022-6-5 16:37
pal大，测主防时，关掉杀软双击样本再立即把杀软打开的方法是正确的吗，我一直搞不准

？
What THE FXXK？
是要先让病人病死在测试复活药吗？https://www.bilibili.com/video/av973348075

显示全部楼层 · 发表于 2022-6-5 19:12:40

hipoxiaxxx 发表于 2022-6-5 16:37
pal大，测主防时，关掉杀软双击样本再立即把杀软打开的方法是正确的吗，我一直搞不准

这是收伞淋雨测试防水性

显示全部楼层 · 发表于 2022-6-5 20:29:28

hipoxiaxxx 发表于 2022-6-5 16:37
pal大，测主防时，关掉杀软双击样本再立即把杀软打开的方法是正确的吗，我一直搞不准

测主防为啥要关杀软？关了杀软还怎么测主防？一般说的测主防关监控是只是关掉基于特征码的实时扫描

显示全部楼层 · 发表于 2022-6-8 15:58:30

pal家族发表于 2022-6-5 17:44
？
What THE FXXK？
是要先让病人病死在测试复活药吗？https://www.bilibili.com/video/av973348075

这年头，UC做错了什么，还要惨遭屏蔽

显示全部楼层 · 发表于 2022-6-8 17:25:16

本帖最后由 kakenhi 于 2022-6-8 17:57 编辑

沙盒很明显卡巴也有，这个做过钓鱼样本的都知道，如果不做对抗处理，就会上一堆俄罗斯的调试机。而且他那个沙盒不光运行文件，有时候还能直接运行内存里面dump到的PE。

基于符号执行的运行前模拟，Windows Defender、360很明显也是有的。这个技术方向做得最NB的是赛门铁克。

内存现在是个老外的杀软应该都有吧，Windows Defender也有。内存检测两种思路 1. 基于调用栈回溯 2. 基于定时扫描，对于那种跑一下就没了的工具类载荷定时扫描是没用的。个人觉得内存方向做得最NB的是Sophos。做得还行的，智量、卡巴。360虽然一直以来给人的印象是没有，但个人怀疑他们也用了内存检测给安全大脑拉黑样本提供决策依据，只是很鸡贼的在报毒的时候不说明而已。。

另外有，跟做得好差距很大。像有些做得差的在对抗过程中感知不到，厂商虽然说有，但你会认为他们在吹牛。。

[分享] 各家安软对于样本的检测方式【转载】

本帖子中包含更多资源

评分

评分