【驭龙技术帖又来了-第一弹】简单测试MA家族的入库和查杀类型测试

驭龙

我虽然是MA家族的粉丝，但是，我一直实话实说的，我一直是这样，今天我就来黑一下MA，或许这是MSE区创建以来最黑帖，大家看本帖要有心理准备哦 ，我会揭露MA的一个秘密，也是一个不是很好的地方，请大家耐心的把帖子看完。

言归正传，开始本帖的正文内容：

我随便抽取一枚样本，是MA特征码杀的。


我改了一下这个样本的SHA1以后，使用MA再杀，毫无反应。


这是之前查杀时，写入的日志：

FileName:E:\Virus\74774753a659781adf8cc6e4c8eb4da5
SHA1:c51603985c62294003aa6e27c492819d65aed3d7
Beginning threat actions
Start time:09-29-2014 19:13:10
Threat Name:TrojanSpy:Win32/Dyzap.D
Threat ID:2147689168
Action:quarantine
Resource action complete:Quarantine
Schema:file
Path:\\?\E:\Virus\74774753a659781adf8cc6e4c8eb4da5
Threat ID:2147689168
Resource refcount:1
Result:0
File to act on SHA1:C51603985C62294003AA6E27C492819D65AED3D7
File owner:XXXXXXX
File cleaned/removed successfully
File Name:E:\Virus\74774753a659781adf8cc6e4c8eb4da5
Resource action complete:Removal

简单的测试就可以确定MA杀样本，增量更新入库的是依靠SHA1的，日志上也是这样写的，但是不代表一切，请继续看帖。

这个样本修改前后的样本和信息，为了鉴证改SHA1以后，样本是否被破坏，我还上传VT确认。
样本下载地址和相关信息：
http://bbs.kafan.cn/thread-1775520-1-1.html

文件: E:\Virus\Smoke\Smoke.exe
大小: 471040 字节
修改时间: 2014年9月29日, 18:54:12
MD5: B64A8123EE1BF33E252296F06DE5787C
SHA1: 229804556534BBAA14AA4FA5D77496556E3E3E68
CRC32: 287EC100
VT：https://www.virustotal.com/zh-cn ... nalysis/1411989309/

文件: E:\Virus\74774753a659781adf8cc6e4c8eb4da5
大小: 471040 字节
修改时间: 2014年9月26日, 23:10:16
MD5: 74774753A659781ADF8CC6E4C8EB4DA5
SHA1: C51603985C62294003AA6E27C492819D65AED3D7
CRC32: D5702ACE
VT：https://www.virustotal.com/zh-cn ... nalysis/1411989727/

不仅仅是入库以后，即使是DSS杀也是依靠SHA1，改SHA1以后DSS也不会报。
当然，MA的查杀并不是完全依赖于SHA1的，因为基因（基础库入库的特征依靠基因特征查杀，非SHA1查杀，请往下看）和启发以及需要修复的样本，是不依赖于SHA1识别的，只是在新入库（也就是增量更新库）的样本上使用SHA1识别，比如说这个被改SHA1的样本查杀已经不报了，但是双击以后，MA的动态启发还是会报，也会拦截样本运行（忘记截图了）。

我还测试了五六个不同的样本改SHA1，改以后MA几乎都不报了（就不逐一发图了），但是改SHA1有时候会失败，也就是所有安软都不杀，这就是改SHA1失败了，因此本测试仅供参考，不代表完全正确。

现在到重点内容了，我找了一个多月之前的样本，也就是说这样的样本应该已经被MA基因入库，也就是基础库入库的样本。

没有改SHA1之前的报法是具体。


改SHA1以后报的类型也是具体，报法名称完全相同，这次再怎么改，MA都会报，这就是Microsoft AntiMalware基因特征入库了。

（就不多截图了，是一样的结果）

样本信息，样本在之前的样本区帖子中http://bbs.kafan.cn/thread-1775520-1-1.html

文件: E:\bingdu\2014-08-05_35\2014-08-05_35\ADP_Invoice.exe
大小: 19456 字节
修改时间: 2014年9月30日, 13:34:09
MD5: F14E76F5DCB8502FE476AF75BAD4A920
SHA1: F42F01CC1C67E47917747A8CB54A73879E93C0C5
CRC32: F54226FD

文件: E:\Virus\MD5xiugaiqi\MD5_xiugaiqi\Smoke.exe
大小: 19456 字节
修改时间: 2014年9月30日, 13:41:35
MD5: CD887950CD00A24FFF95670478C4BDC9
SHA1: F4E94170DF0169EFE47A9B161F13AF07EA7CDA8B
CRC32: A4B91AA1

文件: E:\bingdu\2014-08-05_35\2014-08-05_35\Case_04082014.exe
大小: 24576 字节
修改时间: 2014年9月30日, 13:34:09
MD5: EC207BF0C5EDF91FA79F2603C307A109
SHA1: 8F610F895D66ABCB814657A42DA65BC99FEECF5B
CRC32: 5C5A7821

文件: E:\Virus\MD5xiugaiqi\MD5_xiugaiqi\Smoke.exe
大小: 24576 字节
修改时间: 2014年9月30日, 13:40:32
MD5: E03A9D5871C90C50DC0AF3079B01CFB0
SHA1: 05E9506B52DA1774F38CFC83F97D37BDF9B89382
CRC32: 1DF05A8D

总结：经过简单的测试，基本可以确定，每个月的引擎更新和特征库合并，就是把上个月入库（增量更新库）的威胁改为基因合并到基础特征库中，因此大家不要以为Microsoft AntiMalware是简单的SHA1提取查杀，因为MA是先SHA1入库，添加到增量更新，每个月再把增量更新转为基因添加到基础库。
另外值得注意的是，有时候增量更新中也会有基因的更新，只是一部分而已。

大神勿喷，本帖仅供参考。

黑沙子

一直单奔WD，现在看到这个，心里感觉又好爽啊

Miostartos

黑得漂亮哈哈哈哈哈哈

z2009

看来以前国产杀软sha1入库也不是首创咯

Renascence

相比较如今流行的一些“快速响应”的云拉黑技术连压缩包都囫囵拉黑，这真的不算是什么黑暗科技，算是很本分的

驭龙

STCn1000 发表于 2014-9-30 18:32
黑得漂亮哈哈哈哈哈哈

其实后半部分我是不准备现在写的，直接写前半部分，也就是SHA1查杀，不过想了想，还是补完比较好，哈哈

Miostartos

驭龙 发表于 2014-9-30 18:35
其实后半部分我是不准备现在写的，直接写前半部分，也就是SHA1查杀，不过想了想，还是补完比较好，哈哈

其实MA黑历史挺多的
最早2.X版本自保也没有
最近在考虑要不要来个OPF和MA搭配

驭龙

STCn1000 发表于 2014-9-30 18:43
其实MA黑历史挺多的
最早2.X版本自保也没有
最近在考虑要不要来个OPF和MA搭配

自保问题，我还发过多篇帖子呢。

话说你现在去用PC Hunter结束进程，去结束一下最新版MA的核心MsMpEng，会是什么情况？

Miostartos

驭龙 发表于 2014-9-30 18:47
自保问题，我还发过多篇帖子呢。

话说你现在去用PC Hunter结束进程，去结束一下最新版MA的核心MsMpEng ...

最近不知道啊
弄了个OSS1年在玩。MA已经很久没开了

ELOHIM

发贴非常非常非常棒，棒的不得了。


病毒入库，目前依靠人工和机器分析。
new definitions 如果不靠提取哈希值来识别，还有什么好方法吗？

new definitions 说真的，也是楼主讲的，不是什么必杀技，也没有什么好喷的。
而那些“updated definitions”也不是一承不变，已经入库的病毒信息，还会继续更新到A,B,C,D,E,F...变种。

微软在杀毒这一块没有老本吃，只有缩短“new-->updated definitions”的时间间隔才行，现在是一月一个引擎，以后半个月，一周都有可能。

而，未来，加入云的实时分析才会更棒。


被动不如主动。每一个人养成的良好的上网习惯，把周边人员管理培训好，把周边环境设置好，防火墙设置好，然后，如果你不是专业人员，就不要搞病毒双击花式撸管大法。很糗。

        ``(o)_(o)``

话说，昨天系统还原，时间很慢，还原结束，提示让关掉杀毒程序。WD 啊，一个小时就过去啦！我是进安全模式进行的8.1还原，这样的还原是不会创建还原点的。
WD ，我警告你，在进入安全模式进行系统还原的时候，就不要插手我的还原操作！！
然后，编辑wf.msc ,gpedit.msc ，虚拟机的msc设一条重启一次（因为出问题了，在排查）…………………………    好头疼啊！！！

我又来借题发挥一次。说多了。