过卡巴主防，你们自己玩

尘梦幽然

230f4 发表于 2016-1-1 23:36
这东西以及它的衍生物的行为有 90 页那么多

你说什么？
90页？
哪里看到的？

230f4

尘梦幽然 发表于 2016-1-1 23:42
你说什么？
90页？
哪里看到的？

在线分析

尘梦幽然

230f4 发表于 2016-1-1 23:44
在线分析

行，过会儿铁壳沙盘跑出来了看看是什么情况。

ccboxes

230f4 发表于 2016-1-1 23:00
看到“恶意程序的操作已回滚”，我感觉bitdefender已经输了。

@aboringman 是时候检验AVG的回滚了。

还是太嫩啊，ATC双击即秒杀，而且我严重怀疑BD是有有限的回滚能力的。参照行为分析未发现任何衍生物
@230f4 @aboringman

aboringman

实机双击（不入沙），目测IDP被过，我一怒之下重新启动监控触发它的监控清除和回滚，然后看了下任务管理器，注册表编辑器和cmd都没有被破坏。。。。。。（第一次测试没有在后来开启监控，所以以上三样都被喀嚓了）

@230f4 @ccboxes

230f4

ccboxes 发表于 2016-1-2 00:55
还是太嫩啊，ATC双击即秒杀，而且我严重怀疑BD是有有限的回滚能力的。参照行为分析未发现任何衍生物
@23 ...

说好的留给我玩呢。。。开玩笑，感谢测试。

你是win10系统，可能样本有点吃不消

230f4

aboringman 发表于 2016-1-2 01:09
实机双击（不入沙），目测IDP被过，我一怒之下重新启动监控触发它的监控清除和回滚，然后看了下任务管理器 ...

"IDP被过" ，难道是因为样本对运行环境过于挑剔，施展不开手脚？

尘梦幽然

[mw_shl_code=css,true]Assessment

File1:        kill.exe
MD5:        0xFFE10544AEAC5AF7F86C0255C09889C3
SHA-1:        0x1AE54F2E66E36020907D5E0B3946F2D666B7FF35
Machine:        Machine
Determination:        NewThreat
Submission Detail:        This file is detected as Trojan.Gen with our existing Rapid Release definition set. Protection is available in Rapid Release definitions with a sequence number of 171345 or greater.
Signature Protection Name:        Trojan.Gen
Rapid Release Sequence Number:        171345

This message was generated by Symantec Security Response automation.[/mw_shl_code]

样本模拟自动分析报告有100多页...
我伙呆

nick20010117

aboringman 发表于 2016-1-2 01:09
实机双击（不入沙），目测IDP被过，我一怒之下重新启动监控触发它的监控清除和回滚，然后看了下任务管理器 ...

怎么回事啊？
IDP漏了啊？

230f4

Bitdefender IS 2016,Win8.1 64x,开启监控双击。

双击后用Process Monitor可以看到 kill.exe 进程访问了C盘和注册表键值（很少，不够在线分析记录的多），未发现释放出Sys、Bak等文件。CMD等进程正常，开机启动项目正常。

再双击一次

“参照行为分析未发现任何衍生物”