鸭鸭杀毒

无标签 2021-10-03 2844 次浏览 次点赞

7 条评论

  1. timelife
    timelife

    加油大佬,等着学习一下

  2. timelife
    timelife

    以前学习写过基于unicorn_pe,因为要模拟的api巨多放弃。
    大佬是不是也是仿真win可执行环境,应该是pe解析+执行api序列,特征工程后机器学习?
    优势比传统沙箱轻量、可控,快照也可以更精细粒度,容易集成到浏览器、引擎部署到客户端。

    1. huoji
      huoji

      defender的更极端 他们是真正看API执行序列的
      https://key08.com/index.php/2021/10/23/1384.html

    2. huoji
      huoji

      模拟win可执行环境仅用于脱壳~ API调用啥的不需要也从来不作为一个特征来看
      这个技术已经存在很久了 火绒、defender、国外的一些杀软也已经集成了 我只是复现了一下他们的做法~

      1. timelife
        timelife

        是的很早的种技术,大厂比较成熟。脱壳除外还见到有人用来做轻量级杀毒(沙箱)引擎,除了exe之外还有sys驱动模拟,对于一些特殊的执行文件,仿真引擎跑一遍识别恶意行为,dump相关数据用。

        1. huoji
          huoji

          目前这种技术已经淘汰了
          现在的edr相关的技术了 你感兴趣的可以研究一下 google搜索 crowdstrike

        2. timelife
          timelife

          我见有人国外论坛,有老外仿真了2000~3000Api还有子系统,类似于sandboxie,可以dump进程的shellcode本地引擎仿真执行,哈哈可能技术方向成熟,但是完整的做出来可能要耗费和多精力。
          沙箱+AI行为分析训练是不是效果更好一些,要比静态pe各种特征效果好?

添加新评论

选择表情