12
返回列表 发新帖
楼主: ANY.LNK
收起左侧

[分享] 各家安软对于样本的检测方式【转载】

[复制链接]
n257368
发表于 2022-6-8 19:17:40 | 显示全部楼层
没看懂沙盒模拟和运行前模拟有什么区别

指的是 binary interpret 吗?卡饭论坛里一般称为动态启发式的玩意(看火绒的沙盒模拟那一项,应该是了)

如果是这个的话,这不是 ESET 主打的技术之一吗?(高级启发式/ DNA 签名)
kakenhi
发表于 2022-6-10 00:34:17 | 显示全部楼层
本帖最后由 kakenhi 于 2022-6-10 01:20 编辑
n257368 发表于 2022-6-8 19:17
没看懂沙盒模拟和运行前模拟有什么区别

指的是 binary interpret 吗?卡饭论坛里一般称为动态启发 ...

https://www.vmray.com/cyber-secu ... -enhanced-analysis/

emmm看了一下原文被删了。。谷歌还有快照。
搜索:back to the past using intel processor trace for enhanced analysis

讲个故事。很早以前我写了个peloader,加载mimikatz,载荷是加密的。但把这个exe丢到windows defender里面,我还没运行,defender就告诉我这是个mimikatz。更令我惊讶的是,我重新在程序头部加了个ExitProcess(0)后编译,defender也告诉我这是mimikatz,就好像完全无视了我开头的那个退出程序语句,而直接跳转到后面去跑了一样。

后来过了很久才了解到,这种技术叫符号执行。但之前我已经猜到defender可以用一种类似于暴力crack的技术无视程序分支并预测程序后面的动作,所以使用了一个偏脑筋急转弯的方法bypass了这个技术。如你所见,这篇文章是2015年的,符号执行这个技术已经很老了。据我所知,火绒、360、奇安信、卡巴、defender、赛门等多种杀软都采用了该技术,而赛门对该技术的实现,是最难使用我刚才所说的“脑筋急转弯”式技巧绕过的。当然从特点上大家也应该能想到,该技术不光用于杀软的反病毒引擎,也用于威胁情报界的海量样本筛选。

遗憾的是,现在很多红队开发者还对该技术一无所知。比如我们的一位同事天真的认为,天擎对他的loader报毒:injector,是因为病毒分析人员抓获分析了他样本后将其归类的。然而我的看法是:这个报毒明显就是符号执行技术自动跑出来的。




huangzihang
发表于 2022-6-10 00:36:51 | 显示全部楼层
kakenhi 发表于 2022-6-8 17:25
沙盒很明显卡巴也有,这个做过钓鱼样本的都知道,如果不做对抗处理,就会上一堆俄罗斯的调试机。而且他那个 ...

运行前模拟,指的是Heur.Advml.ABC吗
kakenhi
发表于 2022-6-10 00:45:11 | 显示全部楼层
huangzihang 发表于 2022-6-10 00:36
运行前模拟,指的是Heur.Advml.ABC吗

你这个翻译过来就是:启发式.高级机器学习.xxx

机器学习是通过对PE的各特征部分采样学习,让机器从统计规律上找出恶意软件与正常软件的区别。既然是基于统计学规律,那这很明显是一种偏静态的手段,不能说是运行前模拟。
huangzihang
发表于 2022-6-10 00:47:19 | 显示全部楼层
kakenhi 发表于 2022-6-10 00:45
你这个翻译过来就是:启发式.高级机器学习.xxx

机器学习是通过对PE的各特征部分采样学习,让机器从统 ...

可我之前测诺顿的时候,扫描不杀,双击Advml.B
kakenhi
发表于 2022-6-10 01:02:20 | 显示全部楼层
本帖最后由 kakenhi 于 2022-6-10 01:03 编辑
huangzihang 发表于 2022-6-10 00:47
可我之前测诺顿的时候,扫描不杀,双击Advml.B

赛门的sonar很多时候都是双击才生效的。有些时候是完全没有必要的,这是出于提高攻击者测试成本考虑。
但有些时候是有必要的。为什么我刚才说“赛门的符号执行是最难使用脑筋急转弯式技巧绕过的”呢?这其实就是主要原因。
n257368
发表于 2022-6-10 08:14:19 | 显示全部楼层
kakenhi 发表于 2022-6-10 00:34
https://www.vmray.com/cyber-secu ... -enhanced-analysis/

emmm看了一下原文被删了。。谷歌还有快照 ...

嗯,有听说过这个技术,现在 CTF 竞赛里 angr 的应用已经广为人知了
不过这项技术应该云端用得比较多吧?本地跑太影响性能了

前段时间西交不是还有篇卡符号执行的论文吗?
——————————————————————
还有,抱歉我还是没明白沙盒模拟和运行前模拟的区别
是前者只是简单的模拟而后者带符号执行吗?
kakenhi
发表于 2022-6-10 12:01:14 | 显示全部楼层
n257368 发表于 2022-6-10 08:14
嗯,有听说过这个技术,现在 CTF 竞赛里 angr 的应用已经广为人知了
不过这项技术应该云端用得比较多吧 ...

那他说的沙盒模拟可能是传到云端去虚拟机跑吧。。
kakenhi
发表于 2022-6-10 12:02:17 | 显示全部楼层
n257368 发表于 2022-6-10 08:14
嗯,有听说过这个技术,现在 CTF 竞赛里 angr 的应用已经广为人知了
不过这项技术应该云端用得比较多吧 ...

本地很多杀软都有的,可能分析得没有云端那么透彻。
赛门那个确实是很影响性能。。其他还好
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 18:58 , Processed in 0.103545 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表