关于 ESET LiveGuard 的一些常识

anthonyqian

看到坛子里有一些人已经在用 ESSP 了，但对于 ESET LiveGuard （以下简称 ELG）有一点误解，因此写一些问与答来解答这些疑问。

1. ELG 是什么？

ELG 是 ESET 的云沙箱系统，前身是 ESET Dynamic Threat Defense （简称 EDTD）。它的作用是把 ESET 本地引擎不报且云端 LiveGrid 信誉未知的受支持格式的文件自动上传到 ESET 位于斯洛伐克总部的服务器中进行分析。分析通常需要 5 分钟，在此期间，文件将被 ESET 暂时拦截访问。分析结束后，结果会通过微软 Azure 云传递到客户端，客户端会根据结果删除或取消阻止被分析的文件。

2. ELG 和原先的 LiveGrid（以下简称 LG）有什么区别？

首先这两个是完全不一样的系统。ELG 是云沙箱分析系统，而 LG 是云端信誉分析及反馈系统。
具体而言，ELG 可以自动上传所有未知的、受支持格式的文件，并支持手动上传任意文件；而 LG 默认情况下只会对检测到的威胁样本或少部分可疑文件样本进行自动上传，当然也可以手动上传任何文件。
就分析技术而言，ELG 采用了所谓的多层分析技术，主要是指云端机器学习扫描+云端行为分析；而 LG 只涉及云端机器学习扫描分析，不涉及行为分析。
ELG 以最高优先级进行分析，而 LG 的分析优先级较低。
ELG 可以反馈结果，LG 不可以。
在某些时候，如果 ELG 分析一个样本为高度恶意，该检测会立即同步到 LG 中。
（具体请参考：https://support.eset.com/en/kb66 ... e-and-eset-livegrid）

3. ELG 受支持的文件有哪些？

官方的说法是 ELG 支持分析任何类型的文件。但就自动阻止并上传分析而言，我发现下面的文件种类不受支持（不能自动拦截并上传）：

• 未检测到的 JS 脚本；
• 未检测到的不含宏的 Office 文档。
  

4. ELG 的多层分析技术是什么？

简单来说就是两部分，第一部分是文件代码分析，和本地端的扫描引擎不同，云端的代码分析可以运用的机学模型更复杂，同时也可以使用尚未推送到本地的最新威胁定义进行扫描。第二部分是行为分析，就是指将样本放在 ESET 云端环境中运行，监测样本的行为，并采用深度学习神经网络模型，将样本行为与所有已知恶意软件样本的行为进行比较。最后综合上面两部分的分析结论，利用特殊的算法计算样本的恶意程度。具体可以参考：https://support.eset.com/en/kb66 ... -liveguard-advanced；https://help.eset.com/elga/zh-CN/how_detection_layers_work.html）

5. ELG 是把所有未知文件都阻止访问并上传云端分析吗？

不是的。首先上面说的两种格式的文件不受支持。其次文件需要符合以下特征：

• 使用受支持的 Web 浏览器下载的文件
• 从邮件客户端下载的文件
• 使用受支持的压缩文件实用程序之一从未加密或加密的压缩文件中提取的文件
• 在可移动设备上执行和打开的文件
  

受支持的浏览器等软件如下图所示：




另外，只有 ESET 本地引擎无法 100% 确定为恶意或安全的样本才会触发 ELG 自动分析。曾经被 ELG 分析过的样本也不会被完整发送到云端。

6. ELG 和 ELG Advanced 有什么区别？

ELG 是指 ESSP 产品所采用的云沙箱；ELG Advanced 是企业级产品采用的云沙箱。两者在检测技术方面没有差异，区别是 ELG 目前暂时不可以在界面中调整检测阈值；ELG 目前没有上传的所有样本的结果一览表；ELG 不提供行为检测报告。

7. ELG 怎么查看结果呢？

确实，由于 ELG 目前没有上传的所有样本的结果一览表，分析结果不能直观的显示出来。但也不是完全不能看。

1) 自动上传并分析的样本

这类样本在分析期间，右击样本可以看到取消 ESET LiveGuard 的选项。默认情况下，如果样本分析为恶意，会自动被 ELG 删除，同时弹窗通知。但是样本分析为安全的话，ELG 会直接取消阻止，但不会告诉你。为了能查看结果，可以右击样本，找到高级选项，选择检测文件声誉（当然也可以双击样本）。这时候 LiveGrid 的窗口会弹出，一个提示样本被 ELG 分析的弹窗也会出现。这就意味着无论 ELG 分析结果恶意与否，你都能知道样本的分析结果。

2) 手动上传并分析的样本

这就比较麻烦了，可以等 10 分钟，如果 10 分钟后样本没有被删除，可以正常打开，那么可以默认 ELG 分析为安全。

8. ELG 分析效果如何？

有效果，但不完美。总的来说，ELG 是有效果的，尤其是针对已知威胁家族的新变种非常有效果。还有最近流行的 Magniber 勒索，尽管微步等云沙箱都跑不出行为，但 ELG 还是基本上可以全部拦截。但是 ELG 还是有很荒唐的时候，例如曾经碰到一些样本就连双击都能被高级内存扫描检测到，ELG 却说样本是安全的。另外 ELG 对于未入库的易语言还是不太行，主要原因是部分易语言样本在国外版的 ESET 中已经被检测为 PUA 了（但这个 PUA 检测在国内被禁用了），因此 ESET 仍然把易语言样本当成已知恶意来处理（尽管国内版不查杀），导致无法触发自动上传分析。

另外 ELG 对于一些动作比较小的国产后门、部分反沙箱分析的样本表现的不好。
9. ELG 的阈值如何更改？

尽管不要抱有太大的期待，但是还是可以尝试降低检测阈值来提高检测率，方法见：https://bbs.kafan.cn/forum.php?m ... 964&fromuid=1237259。

10. 为什么 Anyrun/Joe Sandbox/微步/大圣 都能报的样本，ELG却说安全？


杀软提供的云沙箱和第三方提供的云沙箱在误报控制方面是有区别的。虽然第三方云沙箱检测率看起来很高，但是误报也非常高（尤其是大圣、Anyrun）。杀软提供的云沙箱在检测上会更加谨慎一些，卡巴斯基的 Opentip 上的云沙箱也是如此。当然 ELG 有很多需要完善的地方，在提高检测率方面也确实要下功夫了。

11. ELG 有可能下放到 EIS/EAV 吗？

不太可能。ELG 其实是把用户电脑上几乎所有未知的可执行文件都发送到云端做行为分析，这需要硬件支持，也需要大量的资金。考虑到 ESET 最近退出了 AV-Test 家庭版测试，估计财政比较紧张，应该是不会下放到 EIS/EAV 的。另外虽然 Avira 的 APC 免费版就提供了类似的云端分析功能，但是据我所知用户文件上传到 APC 后应该是不会立即跑行为的，只是做机学分析而已；微软也有类似的 block at first sight 功能，但只拦截几秒钟想也知道不会在云端跑行为的，因此上面两款产品和  ELG 是有差异的。

Michael_Zhu

感谢，说的很清楚

fcf4376693

感觉很神奇

沙丁鱼VX

ELG——有用但不完全有用，不值那点差价

anthonyqian

沙丁鱼VX 发表于 2022-6-28 17:36
ELG——有用但不完全有用，不值那点差价

确实，太贵了。ESET在国外价位普遍偏高。反而在国内那么便宜

我是风我是风

谢谢讲解，非常详细。

wangyaohenbang

ELG目前来说没发挥过作用。。。。反倒误报多，用scoop更新oh-my-posh/dbeaver/猫咪每次更新完都会被elg卡，只在样本区碰到过一个样本本地自动上传返回结果直接杀了

anthonyqian

wangyaohenbang 发表于 2022-6-28 21:14
ELG目前来说没发挥过作用。。。。反倒误报多，用scoop更新oh-my-posh/dbeaver/猫咪每次更新完都会被elg卡， ...

诶 elg还有误报啊 方便提供一下样本吗～

wangyaohenbang

anthonyqian 发表于 2022-6-28 21:58
诶 elg还有误报啊 方便提供一下样本吗～

不是，我的意思是指elg目前只在样本区发挥过作用，其他的情况要么本地直接解决，要么就是本地拿不准上传之后elg最终反馈还是安全，但是可能是签名问题，每次更新都会被上传禁止运行5分钟

metaverse

终于明白了，感谢分享