ESET吹的挺好，但下次不要吹了，你的行为分析好像也一般【DBI白皮书揭秘HIPS体系】

Hibike

裂空我爱杰 发表于 2024-12-30 23:16
eset虽菜，但是dbi面对银狐我是见过发威的

反光红伞，面对银狐，哨兵=烧饼，APC=ABC

虽然但是，Avira的Sentry也实打实地检测过一波银狐变种的。

虽然仅限于某几批样本（

驭龙

Hibike 发表于 2024-12-30 23:19
那确实是理解不同了。我甚至不觉得这是曲线救国，毕竟，检测Anti-VM和检测dSyscall都属于同样的"因为这种 ...

"因为这种行为非常罕见所以直接判为恶意也不会出什么问题"。

问题在于，ESET的DBI在检测到可疑的API调用的情况下，没有发现负载体，就不会阻止这个可疑进程，而是会让DBI进入遥测状态，为livegrid收集情报，所以不会像HMPA那种一刀切。

If the process is suspicious, but does not show clear signs of malicious behavior, HIPS can also use the data gathered by DBI to run further analysis via its other modules.

在这种遥测的状态下，避免恶意软件造成破坏，DBI修改恶意软件触发恶意软件的反分析功能，在我看来就是另辟蹊径的一种措施

kaba777

Hibike 发表于 2024-12-30 22:52
恶意行为，白皮书中明确说了可以阻断的。如果发现不了，再去苛责DBI本来也不对吧？

所以我依然认为 ...

个人意见，不一定是有益的，对某些检测虚拟机和沙盒环境的合法软件，可能也会导致异常退出？这个功能给我的感觉就是根据虚拟环境敏感这一个特征，直接把所有程序一棍子打死了。

驭龙

hansyu 发表于 2024-12-30 23:23
从你的测试结果以及DBI的平常表现，基本可以证明ESET的各种防护层都是着眼于应对已知威胁及其变种。对全 ...

是的，DBI类似于DPH这种特殊的行为分析，针对特定类型样本很猛，很多人都没明白我一楼的意思，我是在讽刺说ESET没有行为分析的，所以才反向讽刺一下ESET，没想到有人真的护着ESET，一旦有说ESET一句坏话就不开心了

Hibike

驭龙 发表于 2024-12-30 23:26
问题在于，ESET的DBI在检测到可疑的API调用的情况下，没有发现负载体，就不会阻止这个可疑进程，而是会 ...

我认为ESET所说的"修改"更多地是指向User mode hook本身？

"在这种遥测的状态下，避免恶意软件造成破坏，DBI修改恶意软件触发恶意软件的反分析功能"这种具有触发条件的修改，我似乎不能从白皮书中直接找到依据。

HMPA几乎是纯单步，确实没法直接类比DBI的。

驭龙

kaba777 发表于 2024-12-30 23:21
仔细看了一下图，怎么感觉有种拿用户电脑当行为分析沙盒的感觉个人有一个不理解的点，如果要用伪造虚 ...

鞭策一下，我不是用什么就喷什么？这也不妨碍我在测试ESET，以及科普ESET功能的技术细节

驭龙

Hibike 发表于 2024-12-30 23:32
我认为ESET所说的"修改"更多地是指向User mode hook本身？

"在这种遥测的状态下，避免恶意软件造成破 ...

并不是修改用户层钩子，DBI本身就有模块注入用户进程，这不就是对样本内存的一种修改？

裂空我爱杰

Hibike 发表于 2024-12-30 23:26
虽然但是，Avira的Sentry也实打实地检测过一波银狐变种的。

虽然仅限于某几批样本（

反正最近几天的银狐样本，哨兵就是烧饼，瞎的...

相反BD免费版ATC一拦一个准。有个样本包扫描miss一堆，ATC全kill

Hibike

驭龙 发表于 2024-12-30 23:35
并不是修改用户层钩子，DBI本身就有模块注入用户进程，这不就是对样本内存的一种修改？

我不就是这个意思吗（
UM hook本身就是修改啊，所以我说的意思是“ESET在讲UM Hook的副作用并适当美化了这一点”。

换句话说我不觉得ESET能做到"检测到可疑API调用后动态修改内存从而误导样本"这种地步，我也从未听说过类似技术。

kaba777

驭龙 发表于 2024-12-30 23:30
是的，DBI类似于DPH这种特殊的行为分析，针对特定类型样本很猛，很多人都没明白我一楼的意思，我是在讽刺 ...

真没看出1楼哪句话是讽刺。个人意见，要不早点把下篇发出来，放点证据给大家看看，要不换个说法，这帖子底下快要吵起来了。