关于5年之后....

IamAngry

qw8462 发表于 2022-11-6 00:06
我觉得是大规模使用云的流量成本太高了，而且火绒个人版完全没有广告，没有办法分摊成本，就算是视频网站也 ...

没钱搞云服务可以搞流式更新啊，现在这样一天一更偶尔加更是有点摆烂嫌疑

2868430073

我还没有用过火绒企业版

wwwab

IamAngry 发表于 2022-11-6 19:12
没钱搞云服务可以搞流式更新啊，现在这样一天一更偶尔加更是有点摆烂嫌疑

流式更新压根不亚于云的钱，流式更新每时每刻都在更新或者检查更新的路上

企业版杀软流式更新不是找死吗，第一是一堆内网机器，第二是正因为流式更新每时每刻都在更新或者检查更新的路上所以你没法确保稳定性和安全性（某厂商用流式更新甚至还带云端自动机样本分拣老实说稳定性安全性误报率识别准确度确实无法保障），三是流式更新没有准确的病毒库版本号只有更新时间这对于一个企业安全检查来说没有办法检查病毒库版本是否为最新的版本或者保证你是最新版本的病毒库因为病毒库每时每刻都在更新

还不如云或者提高本地库更新频率，之所以没有厂商沿用流式更新是因为他们不是傻子这是有一定的道理的

kakenhi

说反了吧。现在的av，哪个没有本地启发式、本地沙盒？我免360，免QAX，免KES，免赛门，免WD都遇到过。而且本地这些做得最nb的不应该是赛门吗？HR本地模拟程度不及它，有什么脸吹啊。。

需要高投入的是云引擎。目前av基本默认开自动样本上传，传的是全样本而不是hash，且云端的沙盒、启发式、机器学习算力比本地大多了。就算是关闭上传，传的也是文件的泛特征，说得不好听点，除了没法完整还原出原文件，基本上能上传的也都传了，甚至有些av“关闭上传”就是个摆设。可以说他们侵犯隐私，但HR说什么检出能力与样本1:1，真的就很离谱。一个做安全的公司，连模糊hash都不知道吗？这属于喷都没喷对地方，给用户讲的东西连自己都不敢信。。

现在的云沙盒已经进化到了第3代，甚至可以在不影响效率的同时根据API/指令集调用序列匹配出特定家族的疑似样本，并根据规则树，扭曲样本原有的运行逻辑，达到“反制特定样本绕过沙箱，同时不影响其他样本运行效率”。我光在对抗过程中遇到的就有：VT的ZenBox、C2AE，国内的红雨滴、微步。今年GABHW我就被微步这么搞过，头一个星期让他们小嘚瑟了一下。不过微步是这4家里面最晚才拥有这种能力的。。

现在的云AI对未知代码的快速识别能力也上了一个台阶，且可以实现多点联动检测，对微修改样本、恶意内存联动拉黑，同时还能标记测试机，提高测试难度。达到“本地测没问题，实际用马上跪”的效果。从2021年下半年QVM提高了对x64代码的检出率后，静态过它就已经成了很多友商红队的大难题。

像是这些沙盒服务器、启发式服务器、AI、结合人工分析的安全能力中心，都需要大量的建设、维护、技术成本，没有哪一样是比本地扫描引擎成本低的。而HR本地引擎有的别家都有，甚至比他们做得更好。没明白他们有什么好吹的。

我之前的红队队友是这么评价HR的：应该大肆宣传，让大家都装上，这样我们以后钓鱼更好钓些。。本来我如果还在红队，差不多也会是这个说法。但现在既然去甲方了，那就不好意思了。HR我得实事求是的说，他们真的很拉。在我近2年的红队生涯中，队友都基本默认HR等于没有杀软。我的马探针检测什么360、天擎、智量、御点、Q管、百度EDR、美团EDR，就不检测HR，因为没有检测价值。。你实在怕卡那就别装杀软用Windows自带的Defender，那个比HR强多了。特意装个HR等于是你有VEGA集显的情况下，硬要装个GT610疯牛病版自降性能。。同时也告诫各位甲方爸爸，如果不想被打得太惨，请务必远离HR。

利益相关：前QAX红队开发，目前已离职。

dsb2466

kakenhi 发表于 2022-11-7 01:25
说反了吧。现在的av，哪个没有本地启发式、本地沙盒？我免360，免QAX，免KES，免赛门，免WD都遇到过。而且 ...

真相了。。

你开心就好

IamAngry 发表于 2022-11-6 19:09
最近上了64位沙盒，又要上内存防护。摆了好几年怎么突然加速了

64位沙盒2017年就有提到 看进度不是一天两天

wwwab

kakenhi 发表于 2022-11-7 01:25
说反了吧。现在的av，哪个没有本地启发式、本地沙盒？我免360，免QAX，免KES，免赛门，免WD都遇到过。而且 ...

珍爱生命，远离自带Windows defender，Magniber防不住，该入库的不入库，不该杀的乱杀，还乱拉白，RootKit也干不掉，人家病毒一上来就加白名单还真给加进去的了....

赛门就更不用说了，现在不是那个年代了，本来就靠信誉杀，机学也是乱杀，也是乱拉白，都是炒出来的，现在用赛门有啥用....

现在已经不是那个年代了，现在赛门现在的查杀的综合实力又算得上哪门子强了啊？....目前本地特征强（不含本地机学，没有说虚拟机技术）的只有两家——eset、火绒。赛门现在在Trojan.Gen.2 Trojan.Gen.MBT拉黑执迷不悟了，要么就ML乱杀，要么就把病毒给你拉白或者拉黑拉黑拉黑....

关于1:1，我不做评价，不过你应该真的测下目前很多云安全软件，很多本地能特征的东西，被它一用云上传上去拉黑，改个哈希，又扫不出来了，然后再上传再拉黑，估计后面还是一直上传拉黑拉黑拉黑不过拉黑速度越来越快，接近大数量样本的时候再反应最快或者直接支持查杀。就像Magniber，很多杀软包括360单论扫描就是完全单靠云上传云拉黑的速度（但是360核晶主防能够拦截下来就是了）

wwwab

关于模糊hash，真不见得有什么用，就算简单改个hash还是能够查杀，病毒下一版更新修改一些内容就又过掉了，比特征通杀过得还快，对大家族完全没用，Magniber Faketg tg中文语言包系列家族，甚至一天n更的也有，怕不是特征能撑3天的模糊hash一个小时都撑不住，用模糊hash检测跟找死没有什么区别了吧....很多同源同一个时间段出来的几个样本模糊hash都不一定有用完全撑不住脚的....

我对同源样本的定义并不是相较于收集到的前一个样本的改动很小的同一来源，而是这些样本都出自同一个人同一个组织连接同一个C&C行为执行逻辑高度相似的同一来源

silicium

计划赶不上变化

UNknownOoo

应该大肆宣传，让大家都装上，这样我们以后钓鱼更好钓些。。

讲真，我在某个远控研究群组里见过类似的言论...