caoqiong 发表于 2024-4-22 11:42

五一钜献:来自百科的免费文件病毒分析功能

背景
在当前数字化时代,计算机病毒一直对你我的重要信息虎视眈眈,他们通常伪装或者注入到各类正常文件中,伺机窃取和破坏。为了帮助用户及时发现和处理潜在的文件病毒威胁,计算机病毒百科推出了在线病毒分析专题。通过该专题为大家提供威胁鉴定服务同时,结合百科已推出的病毒名查询、术语查询服务共同对病毒执行体进行解析和识别,确定病毒的类型、功能和危害程度。
病毒分析服务介绍
为了方便大家对文件进行鉴定查询,百科综合查询输入框现在能够支持输入IP、域名、URL、邮箱、HASH(MD5\SHA1\SHA256)等信息,用户将可疑IOC录入查询,系统会分别通过安天威胁情报平台和安天病毒分析服务给出鉴定分析结果。
我们可以通过首页新增的“病毒分析”模块,或者点击查询结果来源于“安天病毒分析服务”的分析结果列表项,即可跳转至在线病毒分析服务。该服务为大家提供全面的文件样本分析功能,通过对病毒执行体的解析和识别,确定病毒的类型、功能和危害程度。提供多引擎对照检测结果,以确保检测结果的准确性和全面性。通过动、静态信息提取结果结合AI分析,帮助用户更好地了解病毒样本的特征和属性,从而更好地分析和处理病毒。此外病毒分析服务模块还提供了样本上传和报告下载功能,让用户可以方便地上传文件进行分析,并在平台上检索下载已上传的样本报告,以便后续对照复盘。
引申阅读
执行体及公共知识体系构建
执行体,是为实现特定目的代码和数据的综合表达,由硬件系统、固件系统、操作系统、应用程序或虚拟机等执行环境执行。执行体是构成数字世界的基础要素,各种数字化系统(信息系统)往往由一个或多个执行体构成。
网络安全对抗的本质,在过去和未来非常长的一个阶段,都是代码对抗,而其中执行体既是代码对抗中的攻击目标,也是“武器化”攻击装备,同时也防御机制的承载者,IT治理的关键抓手,包括暴露面、脆弱性、补丁、漏洞等,都与执行体相关,执行体本身必然是一个关键性的治理对象,做好执行体治理工作对防御场景构建识别、塑造、防护、检测、响应等安全能力具有重要支撑作用。
当前环境下的执行体治理工作面对着,规模庞大、形态与来源复杂、完整验证困难、运行环境复杂等难题。面对执行体的治理难度,目前,安天在执行体治理的共性能力与公共知识体系方面的已做出了一些探索与实践,在公共知识方面安天推出了计算机病毒分类命名知识百科,在病毒命名规范,及相关知识普及方面起到一定的推动作用,目前正推出的在线病毒分析服务是未来拟推出执行体百科的斥候,百科小组拟通过不断维护改进该服务最终实现执行入口管控和执行机会收敛。
AVL SDK针对执行体对抗成果
安天 AVL SDK 基于全格式识别能力和深度拆解能力,面向各类执行体格式,可以从多个维度提取细粒度的元数据,为安全产品进行执行体的治理和管控提供细粒度支撑。
对于执行体来说,完成类似文件 Hash计算、文件路径名、发布者签名检查这些简单信息的提取还远远不够,如果要支持深度的执行体的分析和关联,就需要把执行体进行相应的元数据化,包括文件格式识别、结构解析、向量要素提取、成分分析、版本记录等一系列的关键要素,这也是安天建构下一代检测引擎的初衷。    由执行体的元数据转化得来的分析向量是一种极为优质的威胁情报,相比 Hash,它具有更高、更强的鲁棒性,除了指向性之外,也带有行为能力相关的表征性。安天下一代威胁检测引擎在承载执行体元数据化能力的同时,也是此类向量级情报消费的基础设施。
结语
在当前数字化时代,面临着日益复杂的网络安全威胁,文件病毒分析显得尤为重要。通过病毒分析专题,百科小组为用户提供了全面的文件样本分析服务,帮助用户及时发现和处理潜在的文件病毒威胁。同时,我们致力于构建一个公共知识体系,通过对执行体的深入研究和分析,为用户提供更精准的威胁识别和防护方案。同时百科小组将携手安天引擎团队继续努力,为用户提供更安全、更可靠的网络环境,共同构建一个和谐、安全的数字世界。

caoqiong 发表于 2024-4-22 12:02

大家可通过病毒百科搜索框下方最新栏目“病毒分析”。或者在综合搜索框查询hash值后,通过点击的返回结果列表访问病毒分析服务。
当大家在使用过程中有任何意见或建议,欢迎大家在此跟帖留言。

五月清澈之夜 发表于 2024-4-22 23:38

可上传的文件类型和文件大小比微步云沙箱还宽限,太棒了

分析环境有分win7 32位、win7 64位、win8、win10、win11、linux等环境吗?
另外测不了压缩包吗?

五月清澈之夜 发表于 2024-4-22 23:47

我试了试,都是安天恶意代码检测引擎发现有危险,AI检测VILLM垂直大模型绝大部分都显示安全,这个AI检测是检测什么的?安天恶意代码检测引擎AVLSDK为什么有两个,两个还检测结果经常有出入

caoqiong 发表于 2024-4-23 17:56

五月清澈之夜 发表于 2024-4-22 23:38
可上传的文件类型和文件大小比微步云沙箱还宽限,太棒了

分析环境有分win7 32位、win7 64位、win8、win1 ...

:lol2.0接踵而来,新活马上就整起来。只管大胆给我们提需求意见。斥候过后,就上轻骑兵,我们一步一步终将无坚不摧。

caoqiong 发表于 2024-4-23 18:23

五月清澈之夜 发表于 2024-4-22 23:47
我试了试,都是安天恶意代码检测引擎发现有危险,AI检测VILLM垂直大模型绝大部分都显示安全,这个AI检测是 ...

VILLM这个我联系我们专业研发稍后作答。至于AVLSDK和AVLVSDK,强烈建议在病毒百科搜一下哦;P。

非常感谢您的宝贵意见。也很遗憾UI上设计的小失误,给大家带来了误导,我们下一版本更新会做出优化,给出对应的中文名称。

五月清澈之夜 发表于 2024-4-24 11:56

caoqiong 发表于 2024-4-23 18:23
VILLM这个我联系我们专业研发稍后作答。至于AVLSDK和AVLVSDK,强烈建议在病毒百科搜一下哦。

非常感 ...

刚刚看了看别人的测试,又有说垂直大模型误报太严重
然后发了:
误报X3
ea62697adf8e1184047218e62c9fb2a4
762d3686ceed0e99e8cd1a1f00cc3789
75cbc036ae6508bef34fb0131b8402bc

另外这个貌似对老系统病毒不是很敏感,熊猫烧香这个病毒,AVLSDK给出的病毒等级居然只有一颗星。另外还有安天引擎没报毒但别的引擎报毒的情况,如图。

未来会支持对网页安全的在线分析吗?扫描URL安全的

seak 发表于 2024-4-26 12:04

五月清澈之夜 发表于 2024-4-22 23:47
我试了试,都是安天恶意代码检测引擎发现有危险,AI检测VILLM垂直大模型绝大部分都显示安全,这个AI检测是 ...

目前VILLM模型目前主要用途是在后台做同源分析的,目前给在线分析的算力比较小,所以从在线交互上还不能充分发挥出VILLM的价值,只能先作为一个鉴定器使用。随着我们算力建设的完善,这块会加强的。

五月清澈之夜 发表于 2024-9-23 23:57

1、动态分析经常处于灰色状态,右侧圆圈一直再转,分析好长时间都没有结果;

似乎“最后提交时间”晚于“首次提交时间”的情况下,动态分析才能很快出结果;

而且在等待很长时间后,“动态分析”右侧的圆圈不转了,直接显示灰色了,似乎进度停止了一样;

希望可以加快动态分析速度,并且提高分析成功率。

2、病毒百科中经常存在“未能有效识别”的,一些老病毒(熊猫烧香)也显示“未能有效识别”,不知是不是正常现象;

3、VILLM垂直大模型经常出现NotFound,似乎安天的AI检测经常出现无法正常检测的情况。希望优化这个模型


4、右下角的“分析报告”点击无反应,无法生成分析报告。希望可以生成报告。

5、希望可以加入对网址(比如URL)在线分析的功能,对所输入的网址进行安全检测,生成安全报告,方便对网址链接的安全性进行检测,看看链接是否为恶意网址或诈骗、病毒网页等

6、这种显示“可疑”且安天引擎都显示NotFound的样本,安天会再进一步分析吗?毕竟样本是病毒包样本合集里的,而且其它引擎也报毒,希望安天对显示可疑的样本进行再分析确认

7、有时候会出现这种情况:结果显示恶意,其他引擎都显示恶意,但安天恶意代码检测引擎和AI检测都显示NotFound,这是否说明安天自家的引擎没有检测出来?对于这种样本,希望安天可以尽快入库,让安天的引擎支持查杀。

(具体的图片我放在压缩包里了)

caoqiong 发表于 2024-9-25 17:18

您好,非常感谢您对计算机病毒百科的支持。
当收到信息后,百科小组立即针对问题展开了研究讨论。
并对您提供的文档内容做出决议,同时启动修正流程,希望能够通过后续更新版本解决您提出的所有问题。

百科小组工程人员回复内容如下:
1、动态分析经常处于灰色状态,右侧圆圈一直再转,分析好长时间都没有结果;
工程师答复:感谢您提出的宝贵意见,由于系统新发布动态功能,目前依然受限于算力。导致动态分析集群存在积压情况,造成超时情况,后续我们会持续关注分析集群压力情况,适时扩充资源。

2、病毒百科中经常存在“未能有效识别”的,一些老病毒(熊猫烧香)也显示“未能有效识别”,不知是不是正常现象;
工程师答复:感谢您提出的宝贵意见,这个经确认是一个严重的内部逻辑问题,系统在归一化多引擎的检测结果时,由于采用的算法逻辑导致获取到了一个错误的核心行为,我们已经决定修正这部分功能,并随版本更新。

3、VILLM垂直大模型经常出现NotFound,似乎安天的AI检测经常出现无法正常检测的情况。希望优化这个模型
工程师答复:感谢您反馈关于VILLM垂直大模型的情况。我们非常重视这块的用户体验,并致力于优化我们的AI检测引擎。虽然偶尔会出现“Not Found”的情况,我们评估可能与模型的复杂性和检测环境有关,目前,我们正在积极分析和改进相关算法,努力提高检测的准确性和稳定性。请您继续关注我们的更新版本。

4、右下角的“分析报告”点击无反应,无法生成分析报告。希望可以生成报告。
产品经理答复:很抱歉,这个是一个交互设计的失误,后续我们将改进设计。目前您可以通过分析报告页面的右上角下载报告。

5、希望可以加入对网址(比如URL)在线分析的功能,对所输入的网址进行安全检测,生成安全报告,方便对网址链接的安全性进行检测,看看链接是否为恶意网址或诈骗、病毒网页等
产品经理答复:您的建议很好。目前虽然您可以在病毒百科网站的搜索框输入IOC查询,比如:域名,URL,hash等实现信誉查询。但我们也会考虑在其子产品,如恶意代码分析系统集成该功能,为用户提供更加便捷的入口服务。

6、这种显示“可疑”且安天引擎都显示NotFound的样本,安天会再进一步分析吗?毕竟样本是病毒包样本合集里的,而且其它引擎也报毒,希望安天对显示可疑的样本进行再分析确认
工程师答复:感谢您提出的宝贵意见,可以肯定的回复您,是的。对于可疑的文件,安天会自动化对接工单系统,由专业分析人员进一步分析,并将分析结果定期同步更新检测引擎。

7、有时候会出现这种情况:结果显示恶意,其他引擎都显示恶意,但安天恶意代码检测引擎和AI检测都显示NotFound,这是否说明安天自家的引擎没有检测出来?对于这种样本,希望安天可以尽快入库,让安天的引擎支持查杀。
工程师答复:感谢您给出的有效意见,目前系统依然处于试运行状态,我们会逐步完善系统让它能够与引擎实现完美交互,同时也非常感谢您的提醒,我们会进一步加大引擎的收录范围,降低漏检率。


以下是针对您提供的文件截图给出的详细回复






caoqiong 发表于 2024-9-25 17:38

五月清澈之夜 发表于 2024-9-23 23:57
1、动态分析经常处于灰色状态,右侧圆圈一直再转,分析好长时间都没有结果;

似乎“最后提交时间”晚于“ ...

非常感谢您提出的富有建设性意见!我们期待与您一同见证病毒百科的成长,也希望您能继续参与我们的讨论,帮助我们不断进步!

五月清澈之夜 发表于 2024-10-8 17:59

caoqiong 发表于 2024-9-25 17:38
非常感谢您提出的富有建设性意见!我们期待与您一同见证病毒百科的成长,也希望您能继续参与我们的讨论, ...

感谢回复!
:):)
页: [1]
查看完整版本: 五一钜献:来自百科的免费文件病毒分析功能