小水一帖，隔壁的Live Guard云沙箱让人垂涎三尺？Avira：云沙箱有啥稀罕？我懒得说

驭龙

很多人是不是觉得隔壁某Live Guard云沙箱高大上，是个高级功能？

实际上Avira的APC是包含云沙箱的，但是Avira认为云沙箱是APC的一部分，也是最基本的功能，所以都没有过多的提及云沙箱功能，Avira用户真没必要羡慕隔壁的LG功能。

按照Avira OEM公开资料，Avira云沙箱的套路跟隔壁LG是没区别的。

Avira 云沙箱利用最先进的文件分析、深度检测和屡获殊荣的动态引爆技术来发现详细的威胁情报。
网络安全行业十分依赖准确而详细的威胁情报。这种情报是通过复杂的恶意软件分析系统发现的，这些系统的范围涵盖从沙箱（使用仿真或虚拟化）到深度内容检测，再到 人工智能和机器学习系统。然而，这样的系统很难开发，需要熟练的工程师加以维护，而且规模有限。与此同时，网络安全供应商需要响应客户的需求以应对攻击数量和复杂性的指数级增长

基本上都是本地发现可疑文件，确认APC云上是否有该文件，没有该文件，本地上传该文件进行云沙箱分析，以及APC其他方式处理，APC获取文件结果，反馈给本地客户端，如果APC判定可疑文件为威胁，本地Avira处理威胁。

与LG不同的可能只有LG在获取结果之前是不允许运行可疑文件，Avira在获得结果之前不会处理和封锁可疑文件。

关于Avira云沙箱的功能介绍如下：

体系结构
云沙箱充分利用 Avira 的云安全系统 —— Avira保护云中开发的技术。Avira 保护云是 Avira 反恶意软件和威胁情报解决方案的基础，并通过 OEM 合作伙伴——众多世界领先的网络安全供应商最终保护着全球近十亿人。屡获殊荣的构建在 Amazon Web Services (AWS) 基础架构上的动态引爆层，使云沙箱能够大规模且快速地管理合作伙伴请求的高时效性。通过安全的 RestAPI，可访问服务并灵活集成。该系统由 Avira 经验丰富的网络安全工程团队设计并不断维护。云沙箱的深度检测和动态分析系统针对不断发展的未知威胁提供最高水平的防护和性能。

分析模块
Avira 的云沙箱使用灵活的多层自动化恶意软件分析服务，可为网络安全行业提供深度检测和报告。关键模块包括：评估上传的文件以便进行初步评估的文件识别层。该层中包含的评估和标记系统使动态管理系统能够优化文件与深度检测、动态分析和行为分析层的交互。这可确保最准确的分析和具有成本效益的服务。深度检测层针对恶意软件行为提供无与伦比的可见性。它利用Avira 强大的专有启发式技术，NightVisionTM 机器学习系统以及特定于文件的分析模块。该层还包括通过超越威胁第一层的方法来模拟整个主机的高级引爆技术。
行为分析、概要分析和机器学习可解决以前隐蔽的内存污染和隐藏的代码层，而智能代码转换则可抵御逃避行为并提 供接近实时的分类。动态引爆分析层使用在无限制扩展的 AWS 环境中运行的隔离引爆平台。该层中的模块采用一系列先进的沙箱技术，以确保像实际客户情况一样分析目标样本。利用系统内的跟踪分析识别可疑或恶意行为。
行为分析和上下文分析层通过系统模块开发的信息级联相互关联，并为数据提供上下文。它可以识别新的恶意软件家族，揭示隐藏的威胁模式，并提供高度复杂的恶意软件行为分析。加工后的情报通过专用的报告模块传递给用户。

完整的云沙箱介绍，可阅读官方文档：
https://www.webassetscdn.com/avi ... Chinese_Feb2021.pdf

光说不练非好汉，这是我昨天测试发现的云沙箱反馈，相关日志如下：

[2024-09-07 23:06:22.648] [info] [RealTimeProtection] [thread id: 10732] [Mitigation] Host file needed no mitigation.
[2024-09-07 23:06:23.176] [info] [OndemandScan] [thread id: 15224] Scan of paths {E:\VIR\setup_3.5.7.exe} started.
[2024-09-07 23:06:23.812] [info] [BaseScan] [thread id: 5388] [ProtectionCloud] The file '\\?\E:\VIR\setup_3.5.7.exe' was unknown in the Protection Cloud. SHA256: '47c629faf4f09343d809f1ea7114d4c5c94f0d99acd1f3b0d53cb30836de0373' Requestor: 'OnDemandScan' Flags: '{Upload needed}' Status: successful
[2024-09-07 23:06:27.212] [info] [Core] [thread id: 5388] [ProtectionCloud] Starting upload of file 'E:\VIR\setup_3.5.7.exe'
[2024-09-07 23:06:37.314] [info] [Core] [thread id: 5388] [ProtectionCloud] Upload of file 'E:\VIR\setup_3.5.7.exe' was successful
[2024-09-07 23:07:38.946] [info] [BaseScan] [thread id: 5388] [ProtectionCloud] The file '\\?\E:\VIR\setup_3.5.7.exe' has been uploaded to the Protection Cloud and analyzed. SHA256: '47c629faf4f09343d809f1ea7114d4c5c94f0d99acd1f3b0d53cb30836de0373' Requestor: 'OnDemandScan' Flags: '{Upload done}' Status: successful
[2024-09-07 23:07:38.946] [info] [BaseScan] [thread id: 5388] [ProtectionCloud] The file '\\?\E:\VIR\setup_3.5.7.exe' was scanned with the Protection Cloud. SHA256: '47c629faf4f09343d809f1ea7114d4c5c94f0d99acd1f3b0d53cb30836de0373' Requestor: 'OnDemandScan' Flags: '{Upload done}' Status: successful
[2024-09-07 23:07:38.986] [info] [EndpointProtection] [thread id: 5388] [OnDemandSummary] Total amount of files to be scanned: 3
[2024-09-07 23:07:38.987] [info] [EndpointProtection] [thread id: 5388] [OnDemandSummary] Scanned files: 3
[2024-09-07 23:07:38.987] [info] [EndpointProtection] [thread id: 5388] [OnDemandSummary] Detected files: 0
[2024-09-07 23:07:38.987] [info] [EndpointProtection] [thread id: 5388] [OnDemandSummary] Scan end status: 2
[2024-09-07 23:07:38.988] [info] [OndemandScan] [thread id: 5388] Scan of paths {E:\VIR\setup_3.5.7.exe} finished in 75812 milliseconds.
[2024-09-07 23:07:38.989] [info] [OndemandScan] [thread id: 5388] Total amount of files to be scanned: 3. Scanned files: 3. Clean files: 3. Excluded files: 0. Detected files: 0. Repaired files: 0. Successful remediation: 0. Failed remediation: 0. Error scan files: 0
[2024-09-07 23:07:39.009] [info] [BaseScan] [thread id: 5388] [ProtectionCloud] Cloud scan cancelled.

虽然可疑文件最终没有被APC判定为威胁，但Avira的云沙箱确实是存在，所以Avira的用户就不需要羡慕隔壁高级版产品才拥有的LG云沙箱功能，因为Avira免费版都有完整的APC，自然也拥有云沙箱功能，这一点不得不说一句，Avira真大方啊。

PS：今天的帖子就到这里，如果我以后有时间，会继续跟饭友们分享更多关于安全软件的内容，最后感谢各位饭友长期以来对我的支持，谢谢

scottxzt

可惜反应速度还是慢

驭龙

scottxzt 发表于 2024-9-8 20:04
可惜反应速度还是慢

隔壁LG也没见得有多牛，很多东西都判定为安全

wwwab

Avira的APC，ESET的LiveGuard，Avast的CyberCapture，哪个比较厉害

驭龙

wwwab 发表于 2024-9-8 20:20
Avira的APC，ESET的LiveGuard，Avast的CyberCapture，哪个比较厉害

Gan最厉害，gen是它的情报包含avast AVG avira Norton等产品的威胁情报

scottxzt

驭龙 发表于 2024-9-8 20:16
隔壁LG也没见得有多牛，很多东西都判定为安全

的确，二个都差不太多，都是差了一口气。
有种感觉，第三方的杀软很多都会被慢慢淘汰，从3家杀软的合并就能看出现在这块对于杀软公司越来越难做了，只有系统自带的杀软可能会越来越牛逼，我·相信杀软的尽头应该就是AI智能的比拼，但是这么烧钱的玩意，能干的公司并不多，杀软应该已经进入了寡头的时代！

蒙特卡洛

难得可贵avira还能独立avast来进行技术研发，别哪天这个换成cybercapture了

freeyang

MD的Block At First Sight算吗？https://learn.microsoft.com/en-u ... -defender-antivirus。 技术文档描述的感觉就是云沙箱。

“对于从互联网下载的可执行文件和非便携式可执行文件，或源自互联网区域的可执行文件，“阻止 ”一开始只使用云保护后台。云后台会检查 .exe 文件的哈希值，以确定该文件是否为之前未检测到的文件。

如果云后台无法确定，Microsoft Defender Antivirus 会锁定文件并将副本上传到云。云会执行更多的分析以得出结论，然后再根据确定该文件是恶意文件还是不构成威胁的文件，允许该文件运行或在以后遇到该文件时将其阻止。”

驭龙

freeyang 发表于 2024-9-9 02:03
MD的Block At First Sight算吗？https://learn.microsoft.com/en-us/defender-endpoint/configure-block-at ...

我只说一件事，那就是很久很久以前，WD的技术文档中，BAFS翻译成中文为自动化沙箱，后期才同步改成首次看见时阻止
不过MD并没有公布太多内容，不确定有没有企业版MDE的深度行为分析沙箱的效果

真小读者

隔壁LG也并没有让人垂涎三尺