卖个瓜

刚才从道哥的Blog上看到 Microsoft Research关于Heapspray检测的论文 。 其实这种基于统计的行为分析检测方法我们几年前就研究出来，并用到 公司的主机安全产品 （当时叫Matrix，现在叫NSFOCUS EPS）里了。 后来在xKungfoo上”用革命的HeapSpray对抗反革命的HeapSpray“的演示，包括“ 家用防挂马小工具 ”都只是那个研究中小把戏性质的副产品。 由于是在底层做的，所以不但可以检测，还可以拦截防护；不但可以保护浏览器，基于PDF阅读器、Flash播放器以及在Office文档中进行的Heapspray也都可以检测到。 当时对挂马网站样本进行测试，检出率远远大于一般杀毒软件，误报率则很低。以至于常有客户反映，说为什么你们报了但是XX杀毒软件却没有报呢？是不是你们误报？最后手工检查的结果基本上都是杀毒软件漏报了。