查看: 11720|回复: 53
收起左侧

[讨论] 对瑞星的引擎的抗MD5免杀能力的重新测试

  [复制链接]
dg1vg4
发表于 2016-12-24 11:32:16 | 显示全部楼层 |阅读模式
本帖最后由 dg1vg4 于 2016-12-24 11:49 编辑

测试用病毒样本:卡饭精睿包2016.12.15
http://bbs.kafan.cn/thread-2069125-1-1.html
测试工具:瑞星安全云终端第二测试版;
瑞星安全云终端第二测试版.JPG
瑞星rdm+社区交流版
瑞星rdm 社区交流版.jpg
rdm+社区交流版图形界面by hez2010
rdm 社区交流版图形界面.JPG
MD5修改工具
MD5修改器.JPG
首先使用瑞星安全云终端扫描测试用的精睿样本包,手动查杀开启了启发式引擎,检出率:22(这有点低了吧?)
手动查杀开启启发式引擎.JPG
确认报毒的文件.JPG
然后,从瑞星安全云终端的病毒隔离区提取出这22个已经确认会被瑞星报毒的文件。
使用本篇测试当中所使用到的MD5修改工具,对这22个病毒样本执行了一次初步修改,如图所示
开始初步修改.JPG
接着,再使用瑞星安全云终端对已经修改了MD5的这22个病毒样本进行扫描,如图所示,瑞星只检出了10个。相关的日志见图。
修改MD5之后的扫描结果.JPG
安全云终端的查杀日志记录.JPG
隔离区状况.JPG
最后,使用瑞星rdm+社区交流版搭配hez2010大神配置的图形界面,对这22个已经做了初步MD5修改的样本进行了扫描:只检出了12个
rdm 社区交流版的扫描结果.JPG
不过在扫描结果里,发现了一些有趣的东西,如图所示,第41,44,49号样本在经过初步MD5修改之后,依然被rdm+报了毒,显示的引擎分别是:thunder,rdm+ , thunder。

评分

参与人数 1分享 +1 人气 +1 收起 理由
屁颠屁颠 + 1 + 1 版区有你更精彩: )

查看全部评分

dg1vg4
 楼主| 发表于 2016-12-24 11:32:34 | 显示全部楼层
本帖最后由 dg1vg4 于 2016-12-24 12:45 编辑

二楼占用,等待编辑。
结论:
我做出了两个猜想:
猜想结论一:
1.无论是rdm,还是rdm+,确实是大量依赖md5来实现病毒检测的。
2.rdm和rdm+都具有微弱的不依赖MD5或者说是抗MD5免杀的能力,rdm+貌似在这方面能力稍微比rdm强那么一点点。
3.瑞星反病毒扫描引擎抗MD5免杀能力还是太弱了,就拿隔壁的卡巴斯基来说吧,刚才经过改MD5的样本包在卡巴斯基那里的扫描结果是这个样子的
卡巴斯基.JPG
有对比才有伤害 瑞星的新引擎看来还需要加一把劲。
猜想结论二:
我使用的MD5修改器有问题,没能让那几个样本成功修改MD5,结果让瑞星的云引擎抓到了漏网之鱼。
etc.
这只是一个简单的测试,事实上这个MD5修改器的本身的可靠性尚待研究,希望有大神能做出更好的测试。
事实上我还保留有疑问,貌似瑞星的个人版产品和隶属于企业级产品的瑞星安全云终端的反病毒扫描引擎有细微的差别,昨天晚上做测试时,瑞星联盟版在对MD5修改后的样本的检测结果貌似只有5个,但也正是这五个让我意识到,瑞星的引擎还是有不依赖MD5数据库的能力。
感谢来自论坛坛友@linzh,@hez2010,@瑞星工程师,以及论坛之外来自瑞星安全云终端研发团队、MD5修改工具开发者分享的工具。
本篇测试当中所使用到的所有实验用品:
卡饭精睿样本测试包16.12.15
瑞星安全云终端第二测试版
瑞星rdm+反病毒扫描引擎社区交流版
rdm+社区交流版图形界面 by hez2010
MD5修改工具
22个被瑞星报毒的文件
做过初步MD5修改的文件

MD5修改器3.0.2.11.1455506473.rar

401.41 KB, 下载次数: 74

skycai
发表于 2016-12-24 11:34:53 | 显示全部楼层
本帖最后由 skycai 于 2016-12-24 12:11 编辑

做个对比吧。

精睿的 样本里面,白样本不少的。检测率其实无所谓。
主要看个成绩对比。

火绒 2/3的样本继续报毒。查看报毒名称,也是原来的。这个就是本地引擎的功劳
QQ图片20161224115623.png
QQ图片20161224115635.png
skycai
发表于 2016-12-24 12:01:51 | 显示全部楼层
看来金山的kvm中某个规则正对这类变形了。
QQ图片20161224120010.png
QQ图片20161224120115.png
skycai
发表于 2016-12-24 12:09:47 | 显示全部楼层
本帖最后由 skycai 于 2016-12-24 12:12 编辑

再上一个管家的,不过有点好玩。
原样本只杀了10个,修改md5之后居然杀了11个。这个是什么道理?

这两个图中有个相同结果的49,报毒名称也不一样了。
QQ图片20161224120741.png
QQ图片20161224120806.png
shulun743
发表于 2016-12-24 12:12:54 | 显示全部楼层
一个 工具出现了不同的 结果 ?

建议你多下载 几个 md5修改器 ,并且 希望 能使用 exe dll  ,sys格式的病毒文件测试 ,不要用 精锐 ,


影响测试结果!!!
skycai
发表于 2016-12-24 12:16:08 | 显示全部楼层
shulun743 发表于 2016-12-24 12:12
一个 工具出现了不同的 结果 ?

建议你多下载 几个 md5修改器 ,并且 希望 能使用 exe dll  ,sys格式的 ...

你觉得精睿的vir就是vir?

寂静de雨季
发表于 2016-12-24 12:26:33 | 显示全部楼层
您下载的文件经360鉴定包含木马病毒,可能导致木马病毒入侵您的系统,甚至窃取您的账号密码、私人照片等隐私信息。


木马文件: MD5修改器3.0.2.11.1455506473.rar

风险提示: 木马(Trojan.Generic)


好尴尬
dg1vg4
 楼主| 发表于 2016-12-24 12:39:10 | 显示全部楼层
本帖最后由 dg1vg4 于 2016-12-24 12:40 编辑
寂静de雨季 发表于 2016-12-24 12:26
您下载的文件经360鉴定包含木马病毒,可能导致木马病毒入侵您的系统,甚至窃取您的账号密码、私人照片等隐 ...


害怕(#滑稽)
卡巴斯基报告未检测到威胁
未检测到威胁.JPG
vm001
发表于 2016-12-24 12:43:01 | 显示全部楼层
skycai 发表于 2016-12-24 12:16
你觉得精睿的vir就是vir?

我猜其实楼主出现的现象和你出现的这个差不多,比如金山之类就是通过收集到的某些MD5工具,然后通过大量测试,得出带毒样本用此类工具修改后的通用特征,瑞星估计也是这样,所以用网上流行开了的md5修改工具来测试还会报很多,更会出现管家这样本来不报的修改后却报了(这是正好命中特征)的结果。。而且网上流传这种工具很容易把样本改死,比如原样本本来就是通过某些手段压缩了的,结果医用这类工具直接把样本该改死了。。
对了你可以看看火绒报毒(除外哈希应急入库的)那些样本修改后不报的,能不能运行了。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-8-23 02:23 , Processed in 0.147264 second(s), 10 queries , MemCache On.

快速回复 返回顶部 返回列表