系统安全二进制安全 [2021]为什么InstDrv.exe这个驱动加载工具绿色版被各个杀毒软件厂商报毒 写驱动的朋友应该或多或少的使用过"InstDrv.exe",或者叫做驱动加载工具绿色版  图标  不幸的是这玩意在VT上被各种杀毒软件报毒,包括defender,火绒,深信服等...  这倒没什么,毕竟这很正常,奇怪的来了, 自己制作的启发引擎到最后也把这个报毒了? 什么原理? ### shap 目前很多的启发引擎都被是"基于神经网络",说白了就是塞一大堆东西,也不知道是啥,反正让机器给出一个0或者1就完事了,但是这样你也懂的,黑盒,完全不可见,包括我自己制作的杀毒引擎也是黑盒.好在存在,shap是一个神经网络查看工具,可以查看神经网络偏向哪个特征,方便调参 [由于保密协议问题,我不能展示我的神经网络的模型,但是可以用一下其他人的]  使用shap工具查看神经网络,左边是特征类型,中间是权重 根据我的看法,是因为这个instdrv这个工具,**他的"代码段与总体积"的比率太小,被很多杀毒软件的启发引擎归类为病毒类** 这就是困扰多年的驱动加载工具绿色版报毒的原因 这种是属于"无法分辨"的软件,这也是为什么目前的启发引擎误报如此之大的原因,无法分辨是指绿色软件的特征是病毒的特征,你没有其他的办法分辨,一个东西,看起来像兔子,行为也像兔子,说话也像兔子,但是他就是一只猫,这没啥办法,只能通过人工加白. 阅读全文 2021-10-03 huoji 0 条评论
