系统安全二进制安全 [2021]鸭鸭杀毒 做这玩意做得很久了,头疼,一个人调试贼难受,一个人做要样本没样本,要建议没建议,于是开放给大家大家一起测试一起研究一下这个东西,看看能不能搞好来 这是2021.10.3日的卡饭样本库,没有入库的启发查杀情况:  一些问题: 为什么不封装成本地应用而要做成在线形式? 本来想封装成本地应用的,但是这个涉及到python转C的问题,还要做界面,而且目前引擎各种bug,虚拟机动态运行部分也没做完,就先暂时做成云端的,实际上是一个flask+之前的demo 为什么没有批量杀毒? 因为服务器拉胯,1h4G的连模型跑起来都费劲,更别说批量杀毒了,但是你可以用下面的API做一个批量扫描的,仅限于夜深人静的时候测试一下,因为用的人多了真的会炸 鸭鸭杀毒引擎怎么工作的? 当一个病毒送入鸭鸭服务器后,将会进行如下操作 1.做CPU仿真,模拟程序执行,从内存中dump出脱壳后的文件(这部分没做完) 2.获取PE文件各种特征信息,比如导入表、字符串等后送入神经网络进行学习 3.然后看黑箱AI怎么说了 样本保留几天? 已经设置为7天删一次,样本仅用于调试鸭鸭引擎,仅当你发邮件或者在卡饭论坛跟我说误报或者不报的时候我会看看,其他时间一律不碰(我也没啥时间天天分析样本),上传即默认你允许与我共享样本 提供一个杀毒api: 网址: post 域名/api/post_file 参数: file 直接post上传文件即可,只支持exe或者lib并且小于20M的文件 成功会返回一个json,里面有是不是病毒、是病毒的概率 在引擎做完后,我会考虑开源的,不过目前不是开源的时候,因为还有很多要做,总不能开源一个半成品 如果有误报、没报的情况跟我说,带上样本sha256, 我们一起研究一下为什么会这样 地址: https://key08.com/index.php/1357.html 阅读全文 2021-10-05 huoji 2 条评论
系统安全二进制安全 [2021]为什么InstDrv.exe这个驱动加载工具绿色版被各个杀毒软件厂商报毒 写驱动的朋友应该或多或少的使用过"InstDrv.exe",或者叫做驱动加载工具绿色版  图标  不幸的是这玩意在VT上被各种杀毒软件报毒,包括defender,火绒,深信服等...  这倒没什么,毕竟这很正常,奇怪的来了, 自己制作的启发引擎到最后也把这个报毒了? 什么原理? ### shap 目前很多的启发引擎都被是"基于神经网络",说白了就是塞一大堆东西,也不知道是啥,反正让机器给出一个0或者1就完事了,但是这样你也懂的,黑盒,完全不可见,包括我自己制作的杀毒引擎也是黑盒.好在存在,shap是一个神经网络查看工具,可以查看神经网络偏向哪个特征,方便调参 [由于保密协议问题,我不能展示我的神经网络的模型,但是可以用一下其他人的]  使用shap工具查看神经网络,左边是特征类型,中间是权重 根据我的看法,是因为这个instdrv这个工具,**他的"代码段与总体积"的比率太小,被很多杀毒软件的启发引擎归类为病毒类** 这就是困扰多年的驱动加载工具绿色版报毒的原因 这种是属于"无法分辨"的软件,这也是为什么目前的启发引擎误报如此之大的原因,无法分辨是指绿色软件的特征是病毒的特征,你没有其他的办法分辨,一个东西,看起来像兔子,行为也像兔子,说话也像兔子,但是他就是一只猫,这没啥办法,只能通过人工加白. 阅读全文 2021-10-03 huoji 0 条评论
二进制安全 [2021]杀毒软件查杀技术 杀毒软件查杀技术 1. hash查杀: 算个hash,查查这个hash在库里面吗 2. 单特征码查杀: 随便取一段字节码,比如程序的中间,取8个字节或者32个字节,存着,如果这些字节一样,杀掉 3. 多特征码: base+偏移,比如 duck.exe+0x1337 = 0xf5ff7788 那么就是木马 4. 辅助特征码技术: pe头、字符串、导入表、pe信息等 5. 全局特征: 多半是基于局部敏感hash算法,此类误报最大,因为病毒加壳后就基本上无解了 6. 启发查杀 初级版: 提取字符串、导入表、之类的,遇到某些函数或者字符串进行加分减分操作 中级版: 指定一些pe信息,比如PE入口点前x字节,导入表导出表函数等信息,送入机器学习网络,与多分类任务无差别,玩的花的比如把整个PE当成一张图片,然后做CNN的也有,用SVM做特征的也有,目前大部分安全软件的 "启发引擎" 就是这玩意. 高级版: 中级版的信息+动态行为模式,所谓的动态行为是用CPU仿真的操作虚拟出一个系统,然后模拟跑样本(可以参考unicorn-engine),看API调用+中级版查杀脱壳后的东西 7. 后置查杀引擎 对运行后的行为链进行提取,送入机器学习的网络,根据行为启发引擎+静态启发引擎进行行为判定,此类目前被称为 "下一代杀毒引擎" 8.其他辅助查杀 云查杀,本地算个特征丢到云里面看看,毕竟本地特征库现在上万亿的病毒数量,实在是太大了太影响性能了. 评价: 阅读全文 2021-09-27 huoji 0 条评论