高级免杀实战微点主动防御2.0+金山毒霸猎豹2012（无提示过K+）

陈泽庶

卡饭免杀VS杀软交流群欢迎各位加入：183766037
视频文件下载地址：http://115.com/file/an48v2p2#[/size]上次做了一个免杀BD的视频，因为对BD的了解不够所以误导了许多同学，我表示抱歉，后来我把BD的监控了防火墙拉到最高，活跃病毒控制过了，防火墙拦截，不过那个防火墙连QQ游戏都拦，这说明BD的防火墙存在的误杀很大，马子过不了也是正常的，今天给大家做一个过金山和微点主动防御的免杀视频测试
之前试了好几次都过了，应该不会有什么失误
OK废话不多说，开始吧
CharactorTotal=4
Codz1=H_00040838_0004083E_00000007_00046031
Codz2=H_00040AE4_00040AEE_0000000B_00046031
Codz3=H_00040CD0_00040CDD_0000000E_00046031
Codz4=H_0004609D_0004609F_00000003_00046031
刚刚微点的特征码改了半天，因为微点的启发是很强的，大部分特征码都在输入表，移位重建都不好使
不过现在已经过掉了
启发已经是高了，而且白名单里也没东西
过了微点的本地主动防御，智能防火墙拦截
我们把防火墙关了试试
直接上线了
我们试试这几个远控的功能
奇迹发生了，我们在用前几个功能的时候都没有出现什么问题，当视频屏幕捕获的时候木马在本地截屏然后发送给主控端的时候微点直接给拦截了并杀了木马，
这就是微点主动防御的智能仿人工分析机制



花
55 8B EC 83 7D 0C 01 75 41 A1 C0 30 00 10 85 C0 74 0A FF D0 85 C0 75 04 6A FE EB 17 68 0C 30 00 10 68 08 30 00 10 E8 89 00 00 00 85 C0 59 59 74 08 6A FD FF 15 08 20 00 10 68 04 30 00 10 68 00 30 00 10 E8 52 00 00 00 59 59
接下来我们看看金山的表现
先给原木马加个花吧
晕，我还没免杀呢，金山转人工了，无语..
只能换个远控了
终于杀了
加花
为了减少文件的大小我先暂停会儿
00016200
原EIP：00412b84
做个2重跳转

0041C000    55              push ebp

金山的话只要上线了怎么搞都没事
不过花指令这种免杀很快会被杀掉了
我们去鉴定一下
我晕，金山是不是休假了.
这两个都转人工了
，为公平起见我们运行被微点报未知蠕虫的文件
现在两个都上线了，我们用内存查杀看看能不能杀
这段时间我们去给木马加壳
加花的那个文件已经加区了，所以不能加壳
把我工具全删了
日
4个壳金山一个没杀，微点KILL2
作为一款杀毒软件，我觉得金山太失败了
微点的查壳能力也有待提高
今天的测试就到这了
对我的测试有问题来联系我QQ:848152076  

gxrsprite

一定要为金山打抱不平，捅什么篓子呀，又要干活了，加紧宣传弥补不足

huchedehaizi88

嗯

悟心之道

过了金山毒霸的K+
过微特征确实更容易，比改MD5还是要难一些（改MD5有多容易，只要不是特殊情况，一改就成）。
测试还是有点意义的，就是能证明确实可以做到。
但云快速度响应，“病毒见光死”到不是盖的，不信搞个可以把很多金山毒霸用户K掉的病毒来。

以前写得玩的，欢迎K
简析金山毒霸2012的免杀难度
http://u.kafan.cn/home.php?mod=s ... do=blog&id=3458

-oAo-

有样本吗？

Dolphinsimon

我想问我给微点提交疑似样本为什么没有回复呢？

天原

不给样本空谈…

悟心之道

天原 发表于 2012-1-31 22:58
不给样本空谈…

现在又流行什么录像

陈泽庶

天原 发表于 2012-1-31 22:58
不给样本空谈…

我给群的管理员试过了，他是win7，我用屏幕监控的时候微点也没报警，样本发到卡饭来微点很快就能杀了，请尊重别人的劳动成果

天原

陈泽庶 发表于 2012-2-1 09:39
我给群的管理员试过了，他是win7，我用屏幕监控的时候微点也没报警，样本发到卡饭来微点很快就能 ...

实在搞不懂这类劳动成果除了看看有何价值