鸭鸭杀毒 huoji 无标签 2021-10-03 3826 次浏览 7 次点赞 自己写的一套启发杀毒引擎,基于人工智能 鸭鸭杀毒引擎怎么工作的? 当一个病毒送入鸭鸭服务器后,将会进行如下操作 1.做CPU仿真,模拟程序执行,从内存中dump出脱壳后的文件(没做完) 2.获取PE文件各种特征信息,比如导入表、字符串等后送入神经网络进行学习 3.查杀 地址: https://vt.key08.com/ 欢迎大家提出意见与建议,在这里留言即可 2022/8/16: 鸭鸭杀毒准备关闭,等待服务器到期... 新一代边角料请转到鸭鸭之眼: https://key08.com/index.php/1515.html 点赞 7
加油大佬,等着学习一下
以前学习写过基于unicorn_pe,因为要模拟的api巨多放弃。
大佬是不是也是仿真win可执行环境,应该是pe解析+执行api序列,特征工程后机器学习?
优势比传统沙箱轻量、可控,快照也可以更精细粒度,容易集成到浏览器、引擎部署到客户端。
defender的更极端 他们是真正看API执行序列的
https://key08.com/index.php/2021/10/23/1384.html
模拟win可执行环境仅用于脱壳~ API调用啥的不需要也从来不作为一个特征来看
这个技术已经存在很久了 火绒、defender、国外的一些杀软也已经集成了 我只是复现了一下他们的做法~
是的很早的种技术,大厂比较成熟。脱壳除外还见到有人用来做轻量级杀毒(沙箱)引擎,除了exe之外还有sys驱动模拟,对于一些特殊的执行文件,仿真引擎跑一遍识别恶意行为,dump相关数据用。
目前这种技术已经淘汰了
现在的edr相关的技术了 你感兴趣的可以研究一下 google搜索 crowdstrike
我见有人国外论坛,有老外仿真了2000~3000Api还有子系统,类似于sandboxie,可以dump进程的shellcode本地引擎仿真执行,哈哈可能技术方向成熟,但是完整的做出来可能要耗费和多精力。
沙箱+AI行为分析训练是不是效果更好一些,要比静态pe各种特征效果好?