关于5年之后....

wwwab

UNknownOoo 发表于 2022-11-7 21:31
讲真，我在某个远控研究群组里见过类似的言论...

反病毒这个东西领域太多了。

最头疼的是碰上红蓝队的人，为什么，因为能力非常强但是思想太局限，他们通常不会关注那种真实世界用户触手可及的病毒样本和流行家族，只知道在他们自己的安全攻防领域这个杀软怎么样，但是对于现实流行样本大部分质量并不高可能完全不屑于去看去分析去处理的，但是你说，红蓝队的头疼问题，对于真实世界样本来说成问题吗

现在的云AI对未知代码的快速识别能力也上了一个台阶，且可以实现多点联动检测，对微修改样本、恶意内存联动拉黑，同时还能标记测试机，提高测试难度。达到“本地测没问题，实际用马上跪”的效果。从2021年下半年QVM提高了对x64代码的检出率后，静态过它就已经成了很多友商红队的大难题。

不就过个云，过个QVM，过了的病毒样本多的是，像红蓝队经常说360核晶yyds，真实世界里面过核晶的样本有吗？也不少啊。过卡巴是不是也很难，真实世界里面完全过卡巴的样本有吗？有啊，不少啊。

这完全就是两个领域，无法正常沟通交流交谈，所以我通常很头疼，就真实世界说给一般用户听一般用户也遇不到那种问题，企业选啥杀软也轮不到谁去管，他们就只会想着甲方乙方。在真实世界里面只有你想不到没有他做不到。有火绒能杀360卡巴挂了的样本，也有别人都能杀火绒挂了的样本。

还有就是老杜之前拿那个什么模拟器测试杀软的什么玩意儿，这就又是另一个领域的东西，完全就是无法沟通的。

我目前反正个人倾向于真实世界用户触手可及样本杀软的查杀能力，样本区也大多如此。

说到这个我想at一下@00006666

wwwab

包括样本测试也分两派，一派喜欢拿老样本进行测试，一派喜欢拿新样本进行测试，隔着一派你也会发现非常难进行沟通....

清道夫900

都在玩新能源了，你还在玩内燃机

jacksonsc

清道夫900 发表于 2022-11-8 09:28
都在玩新能源了，你还在玩内燃机

关键是他内燃机也玩的不好啊。。

你开心就好

1094947421 发表于 2022-11-5 20:09
就是挣不挣钱的事，企业用户提个啥要求，两个月后功能就上线了，个人版提要求：您好，此需求已收录，感谢 ...

反对你前面关于需求的讨论
企业版会大量加需求 是因为在实际用的时候发现火绒企业版不完善 例如资产统计功能不完善 又例如旧版本没有临时密钥 安装IP地址范围限制等导致其他人非法占用授权
而不是赚钱不赚钱的事情 是因为这些功能是企业环境所必须……

你开心就好

wwwab 发表于 2022-11-7 23:57
包括样本测试也分两派，一派喜欢拿老样本进行测试，一派喜欢拿新样本进行测试，隔着一派你也会发现非常难进 ...

啊哈哈哈 正常
不过以前专业书上讲（大意） 安全软件病毒库滞后于互联网上传播的病毒是很正常的事
不知道现在相关概念有没有变  不过 我个人感觉 在现有科技下 这个状况还得持续很长一段时间（就算是快速云拉黑 普通用户能接触到的大部分样本在没有被拉黑之前 已经在互联网上隐秘传播了一段时间）

Nexus-

5年之后不一定要云查杀技术了，技术更新迭代快

kakenhi

wwwab 发表于 2022-11-7 20:40
关于模糊hash，真不见得有什么用，就算简单改个hash还是能够查杀，病毒下一版更新修改一些内容就又过掉了， ...

这个wwwab在这混淆视听，简单回复一下。

赛门：强在本地启发式模拟。17年就可以跨进程模拟，除了真上线，其他基本都能本地模拟跑出来，且机制独特难以绕过。请问HR现在做得到吗？

模糊hash：谁规定查病毒只能用模糊hash检测？你规定的？我举模糊HASH的例子是为反驳HR枪文里面靠HASH检测只能1:1的说法，你硬是要引申为只能拿模糊hash做杀毒。。要对付你所说的同一个人同一个组织、连接同一C&C、执行逻辑高度相似的样本，静态特征最有效的是靠云机学比如QVM。动态特征最有效的靠云沙箱比如微步，也没轮到HR本地引擎什么事啊。。

核晶与QVM：确实在近年涌现出不少过核晶的灰样本，以及稳定过QVM的样本。这些都可以算新闻，看到以后我们会说这个开发有点东西想学习一下。但反过来说，不能绕过HR主防的样本，不能稳定过HR杀毒的样本，它们也可以算新闻。看到这些玩意儿我们会吐槽开发太菜了。。

红蓝队：呵呵我14年毕业但20-22年才做红蓝，你猜猜我之前6年干什么去了。。说红蓝对抗跟真实世界有差别，这个策略很好。敢跟你出来对线的，只有做红蓝安服的。因为搞H产的人，或者以Z国为目标的老外APT是不可能出来跟你对线的。。确实，因为时间和法律限制，红蓝不可能达到APT对抗水平，我也经常喷360那个叫马奇诺防线防得住演练防不住APT。我自己推崇的是老外的挖坑+审核模式，以CrowdStrike为标杆。但问题是你HR有吗？啥都没有好吧。。360好歹能防住正面冲过来的敌人，你HR充其量就是个观察哨，还喜欢天天睡大觉。所以你的意思是大家都防不住真实世界的攻击干脆一起摆烂？

样本：还有老样本派的？笑死我了。现在红蓝都知道变形loader和内存，那你猜猜APT现在玩什么？真实世界已经不存在老样本了。

你开心就好

kakenhi 发表于 2022-11-10 01:16
这个wwwab在这混淆视听，简单回复一下。

赛门：强在本地启发式模拟。17年就可以跨进程模拟，除了真上 ...

火绒的缺点在于样本运营机制整体太过保守  而且好像只关注恶意代码方面 漏洞方面关注比较少 并不是说他做不出来引擎 启发规则什么的  （智量小公司 不也一样在搞机学？）毕竟创始人都是安全界的老江湖了
就拿通杀机制来说 他们非得要互联网上传播的热门样本才做通杀（火绒之前发过一篇文章还专门解释过相关） 我就服了
关于这个用户说的老样本派 我想他的意思是这样的 举个例子以卡饭论坛平台上的样本为例 论坛上打的火热 但是到现实世界 这种样本传播的概率很小 要不就是部分用户拿化石包检测安全软件的检出能力 真•老样本 啊哈哈哈
非专业人士 如有错误 请指正