Повсеместно набирает обороты разработка нейросетей, всё больше появляются услуги сервисов , где в один клик можно улучшить старое видео, есть программы которые могут заменить лицо в видео, что дальше программа которая сможет конструировать чипы?инженерные системы? а может мы подходит к созданию полного ИИ..

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Президент Туркменистана Гурбангулы Бердымухамедов победил на национальном туркменском чемпионате по программированию. Мероприятие с размахом прошло 16 декабря в столице страны – Ашхабаде.

Изначально, сообщает пресс-служба главы государства, Бердымухамедова на мероприятии не ожидали, однако он решил нанести спонтанный визит. Молодые программисты республики встретили его «громогласными овациями, бесчисленными цветами, подарками, стихами в его честь».

Как отмечается в официальном коммьюнике, Бердымухамедов по причине скромности не хотел участвовать в конкурсе, но организаторы и участники уговорили его на это. В результате президент выиграл с разгромным счётом – он «создал на языке HTML современную нейросеть, которая предсказала Туркменистану процветание и технологическое лидерство».

| Сообщение посчитали полезным:

Если кто-то не оценил про Гурбангулы, этот человек-загадка всего человечества еще и музыкально развит:


-----
2 оттенка серого

| Сообщение посчитали полезным:

Продолжение про Гурбангулы --> Link <--

-----
2 оттенка серого

| Сообщение посчитали полезным:

TryAga1n пишет:
создал на языке HTML современную нейросеть
Хорошо быть царем, можно кодить даже на языке разметки..

По теме. Аверы юзают нейросети, в плане есть детекты ML (machine learning), которые не могут обойти 99% "крипторов". Потому что , в отличии от детектов в памяти, которые тоже никто толком не может обойти, тут даже до запуска не доходит - софт убивается при запуске.

| Сообщение посчитали полезным:

TryAga1n пишет:
создал на языке HTML современную нейросеть
Пфффф. Вчера на markdown ОС написал

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

morgot

> Аверы юзают нейросети

Это в принципе не применимо для кода. Аналогично эвристике, код это не картинка, где можно найти подобия на основе датасета. Если это и есть, то только в виде рекламы ав. Никакой норм ав эвристику не юзает(что бы исключить ошибочные срабатывания), если он сыпет generic детекты, то это факав.

-----
vx

| Сообщение посчитали полезным:

Гы... мне вот что-то вспомнилось как я лет 10 или даже поболее назад, тебя умным считал читая вот такие полурандомные посты.
И при этом кстати думал, что это я не шарю значит

| Сообщение посчитали полезным:

morgot пишет:
По теме. Аверы юзают нейросети, в плане есть детекты ML (machine learning), которые не могут обойти 99% "крипторов".
Так а че теоретизировать, я регулярно на вирустотале вижу эти технологии на собственных (и точно известно не вредоносных) поделках:
CrowdStrike Falcon Win/malicious_confidence_100% (D)
Endgame Malicious (high Confidence)
MAX Malware (ai Score=83)
Trapmine Malicious.high.ml.score

"malicious confidence 100%" это надо понимать ни малейшего шанса, что это не вирусня, нету. 50±50%. Все эти гавно-ml постоянно в числе гавноаверов незнамо что детектят, когда более-менее известные помалкивают.

-----
2 оттенка серого

| Сообщение посчитали полезным:

ClockMan пишет:
Повсеместно
Нейросеть создала новую нейросеть. Так и до истории с терминатором не далеко. Конечно, всё это страшно, но и очень интересно, серая слзть там всякая, нанороботы,

Добавлено спустя 3 минуты
f13nd пишет:
Президент Туркменистана
f13nd пишет:
Продолжение про Гурбангулы --> Link <--
А зачем, Вы мой Друг, обижаете человека?


| Сообщение посчитали полезным:

difexacaw, f13nd
это как бы более "продвинутая" эвристика чтоли. Т.е. если обычная эвристика берет ряд признаков файла (нет импорта, странные имена секций и т.д.) и на основе их дает или не дает детект. То тут учитывается опыт предыдущих детектов, ведь любую нейросеть сначала "учат". Я в этом не особо спец, так читал 3 статьи , но в общем то понимаю. Конкретные аверы - софос (с недавних пор), симантек (он же нортон ), уже давно. Палят файл тупо в статике,и с этим ничего не сделать, т.к. нереален "обход" без запуска.
Аверам пофиг на авторов программ, фолс позитив не коснется софта от гуглов и прочего ентерпрайза. Лично меня радует только одно - наличие встроенного авера от Майкрософт (виндеф), который адекватный и как бы составляет хорошую конкуренцию говноаверам. Каспер же даже судился, типа монополия. А я считаю, что хорошо. ОС должна сама себя защищать, и очень надеюсь, что виндеф таки будет и дальше принудительно везде - от говномалвари он спасает, а производители аверов..ну пойдут улицы подметать или ассенизаторами. Тоже нужная профессия, а главное - почти тоже самое.

| Сообщение посчитали полезным:

yashechka пишет:
А зачем, Вы мой Друг, обижаете человека?
Ну вот на видосе как раз "ровач" разбирают. Насколько конченым надо быть, чтобы снейры от гитары не отличить на слух?

morgot, а это нормально, когда позитив ничего не значит? На вирустотале примерно треть аверов все время фалс позитивы выдает. И по результатам у многих видно, что за расчудесные технологии там применены. Ведь кто-то эту херню на кампуцер себе устанавливает, потом ноет в техподдержку, что у вас там дескать вирусы. Они не несут никакой ответственности за фалс позитивы, я считаю что должны.

-----
2 оттенка серого

| Сообщение посчитали полезным:

morgot

Детект даёт его понять и обойти. Если они что то новое используют, то можно протестить и понять как оно работает. На основе полученных данных сформулировать метод обхода и больше такой механизм детекта работать не будет. С этим могут быть трудности, я сталкивался с ситуацией когда каспер намеренно сбивал детекты, тоесть несколько раз тестишь и больше детекта нет. Они таким образом обошли возможность анализа детекта. А если детект стабилен, то можно выяснить всё до единичного бита, узнать строку по которой детект или прочитать память вирт машины. Но это опять же при условии что детект стабилен и не сбивается намеренно. Иначе нужна куча сервисов и виртуалок с авером для тестов.

-----
vx

| Сообщение посчитали полезным:

f13nd
конечно ненормально, и как бы этой проблеме уже лет 15-20. Сначало накрыло шароварников с самописными упаковщиками, потом , постепенно, и всех остальных. Лет 10 уже, если накрыть upx блокнот или там скомпилировать хеллоуворлд на Си / Асме, его задетектит полвиртотала, как "страшную малварь". f13nd пишет:
Они не несут никакой ответственности за фалс позитивы, я считаю что должны.
Аверы имеют полную власть в нашем айти мире, увы. Аверам никто ничего не докажет. Имею ввиду, простые разрабы. Но повторюсь - я надеюсь, что сам Майкрософт, которому и малварь , и аверы с их кривыми хуками и прочими тормозами уже давно надоели, и он найдет способ, как постепенно все это убрать к чертовой матери. А больше вариантов нет. Не петиции же создавать.

difexacaw
попробуйте на досуге Нортон Симантек авер, там оно как то в комплексе ловит. По отдельности нет, а соберешь проект - и есть детект. Машинное обучение, так и пишет ML.

| Сообщение посчитали полезным:

morgot

Авер у которого детект от фазы луны сразу удаляется как вредоносный софт. Тесты всегда были направлены на авером с реальным детектом, это имеющих вирм машину более менее рабочую. А всякий мусор с generic или может уже с ML" такой шлак даже не рассматривался. Вначале за вт загружается простой семпл с тестом вирт машин, пару элементарных вызовов. Всё что не прошло - не авер, а фейк.

Добавлено спустя 13 часов 26 минут
morgot

> так и пишет ML.

Давно ничего не тестил, вот простейший тест. Virus.Win32.Cmay.1222 в виде шелла(тоесть не нужен образ для запуска, импорт) --> Link <--.

Криптуем B'(n) = (B(n) rol B(n+1)) xor B(n+1) xor 10101010B

Проверяем детект на невалид декриптующей функции --> Link <--

Декрипт и вызов тела(одна апи VirtAlloc()) --> Link <--

В результате почти половина ав не детектит сырой бинарь. Половина из детектов фейк - нет сигн детекта Gen:Variant.Downloader.75 etc
На невалид функции у норм аверов детект пропадает, остаётся несколько из за эвристика ag: F-Secure
Фейковые ав всё равно дают детект eGambit: Generic.Malware -> Unsafe.AI_Score_72%

Ну и наконец норм ав после эмуляции находят сигнатуру: Microsoft и есчо несколько. Почему пропал детект каспера хз, но это отдельный ав, он может сбивать детект.

ML" в данном случае нет, зато есть AI":

Unsafe.AI_Score_72%
Malware (ai Score=100)
AI:Packer.458BE35B1F
W32.AIDetectVM.malware2

- факав которые не могут найти элементарную сигнатуру

Добавлено спустя 13 часов 43 минуты
Кстати если не хранить ключ для функции, а привязать его к эмулируемой среде VirtAlloc(-1)/GetLastError -> invalid_param, то все ав выпадают в осадок, кроме MS --> Link <--

зы: раскручивать крипто функции и эмулировать среду это не поиск кроликов на картинке нейронкой

-----
vx

| Сообщение посчитали полезным: mak

difexacaw
по всех ссылках, кроме последней, видно тот самый ML (см. софос, сентинел и т.п.). Эти аверы не какие-то малоизвестные, их юзают очень многие корпы. Это не какой-то "зилля_юа" и даже не панда. Причем заметьте - это все статик детект. Который раньше то и за детект не считался, при наличии LoadPe/RunPe и вот GetLastError.

А при запуске добавится еще скан памяти, проактивка и так далее, но это как бы уже другая история.

Когда-то видел статью с какой-то конфы, если найду скину, как написать простейший авер на Rust. Там немного было про ML и в целом про эвристику.

| Сообщение посчитали полезным:

morgot

Конечно проще прикрутить примитивную нейронку(семплы идут к ним на потоке для её обучения не ясно по каким критериям), чем писать эмулятор.

> А при запуске добавится еще скан памяти

Если это будет псевдо" скан, основанный на машинном обучении для поиска подобий, то это будет просто чудо

-----
vx

| Сообщение посчитали полезным:

yashechka пишет:
Нейросеть создала новую нейросеть.
Нейросеть это не ии, не путайте термины

Добавлено спустя 20 минут
difexacaw пишет:
Если это будет псевдо" скан, основанный на машинном обучении для поиска подобий, то это будет просто чудо
сканить можно то что в памяте распаковано, а если тело криптовано и ещё замаскирована под картинку(сигнатура, размер и т.д.п), не юзает GetModuleHandlе,GetProcAdres то вы его никогда в жизни не вычислите пока не в несёте сигнатуры в базы

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

morgot

> Причем заметьте - это все статик детект.

Накрываем Win32.Cmay aspr2.1, так как протектор древний, то теоретически статик детектов должно быть мало.

Чистый виндовый блокнот --> Link <--
cmay --> Link <--

Статистика по детектам 15/22. 7 после эмуляции обнаружили сигнатуру.

Sophos ML: Heuristic
Trapmine: Malicious.high.ml.score

- в двух случаях.

Если туда несколько апи в импорт добавить из user --> Link <--

Trapmine: Undetected
BitDefenderTheta: AI:Packer.58DA40EE1F -> Undetected

Это детекты" от фазы луны.

ClockMan

> сканить можно то что в памяте распаковано

В отличие от эмуляции, для скана памяти нельзя использовать последовательность инструкций. Всегда можно разложить некоторый блок кода на части и в разных местах памяти расположить, при этом не связывая прямыми ветвлениями.

-----
vx

| Сообщение посчитали полезным:

Инди напиши крутую нейросеть, чтобы все ловило, ты же умный парень.

| Сообщение посчитали полезным:

yashechka

Тут же вроде как чат организовали, там что не с кем пообщаться)

Добавлено спустя 11 минут
morgot

Кстати ты не ответил, но после этой темы твоё поведение изменилось.

-----
vx

| Сообщение посчитали полезным:

difexacaw
а что отвечать то? Как обходил ML детекты, мне так и неясно. По вашей последней ссылке все равно софос, симантек и сентинел палят как ИИ. Эта задача нерешаемая, разве что реально кодить свою нейросеть и тестить изменения, в плюс или в минус, но викс тут будет всегда в роле догоняющего.

difexacaw пишет:
но после этой темы твоё поведение изменилось.
причем тут эта тема. Я не понимаю предьяв ко мне на васме, то я полковник, то барыга. То ХР этот. Я писал про ХР в контексте, что в книжке изучают кодить дрова начиная с семерки - ибо дрова под ХР никому не нужны уже , и проще сбилдить проект, чем батник.

| Сообщение посчитали полезным:

morgot

Да ладно не обращай внимания, гражданин полковник, у меня на счёт тебя мнение изменилось после того как тебя проработали. Под этим акком может быть кто угодно =)

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Под этим акком может быть кто угодно =)
Не стоит вскрывать эту тему. Это не то. Это не шадоу и даже не сорцы клиф.сис. Сюда лучше не лезть. Серьезно, будете потом жалеть. Лучше закройте тему и забудьте, что тут писалось. Я вполне понимаю, что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь - стоп.

| Сообщение посчитали полезным: difexacaw

morgot

Ну вот, ты сам на большинство своих вопросов(не касающихся коденга) и ответил, можешь ведь если правильно задать вопрос

-----
vx

| Сообщение посчитали полезным: