无聊测试卡巴云，无图有真相，谁才是真hash！！

tgzw1680

曾经听说所有的云都是靠hash，md5来判断，也就是所谓的云拉黑技术，其实我一直都不相信我的大卡巴是如此粗俗毫无技巧的玩具，也一直想测试一把贴出来，但是又怕万一得罪了其他板块的，人说我五毛怎么办？然后还回贴放一堆汇编出来反问我怎么办？所以这个事情就耽搁了，但是昨夜看球激情澎湃就默默打开电脑测试了一把。。。。。
下载一个勒索病毒，先改一个md5，然后再加个壳壳，一共3个文件，原病毒，改MD5，加壳。
首先原病毒刚一解压UDS:DangerousObject.Multi.Generic。
第二个修改了md5的解压，没反应，复制粘贴其他位置没反应，拖着文件到处跑，没反应。。。。激情彭拜的心有点寒意，我大卡巴真的是靠md5的玩具云？打开文件夹等了5分钟还是没反应，好吧，你赢了，我会害怕到不敢双击吗？老子就要用卡巴消灭你，点上一根烟，烟圈还没消散，轻点两下鼠标。。。。。：UDS:DangerousPattern.Multi.Generic。
虽然没有每秒的杀猪声伴随，但是心火再次点燃，毫不犹豫双击加壳病毒：UDS:DangerousPattern.Multi.Generic。
以前没怎么注意报发，这次仔细看了下，从字面意思一个是危险对象，一个是危险模型，也就是说一个是确定了，一个是有危险的动作模式。
求知的我趁着中场休息，拿出了尘封已久的英汉大词典，谷歌了一把，总算找了点关于卡巴云的资料。
未知程序先进入卡巴的大数据库进行云库匹配，安全的，直接放行进入信任组，危险的就是DangerousObject，未知的进行云端自动分析安全的放行进入限制组，符合云端危险模型的就是DangerousPattern。这才是我的大卡巴吗。想想这样也是对的，md5是一个可以节约本地云端资源快速判断好办法。但是对于卡巴不是唯一方法，当云端没有发现对应的白hash的时候就会进行云端自动分析，当然要激活这个动作应该是需要双击的，扫描都不会激活这个动作。这样做还有的好处就是把部分代码放到云端，让病毒制造者难以捉摸或者是花更多的时间来绕过云端的行为防御，累死这群孙子。
好了就说这么多，设置好自己的程序控制就大胆的双击把，卡巴把所有都想到了。
最后还是说说国产云的老大哥把，同样的3个程序，原病毒：heur/qvm20.1.malware.gen 改md5：heur/qvm13.0.4647.malware.gen本来到这里我都几乎要兴奋一把了，老大哥就是老大哥绝对不是靠md5，但是当我双击加壳。。。。。。。好吧，我错了，虽然值得表扬的是他提示了我有程序修改我的jpg，但是已经有部分已经被加密了。
最最最后我是想测试一把现在很火的云，红伞云，但是。。。但是。。。我在天朝，即使我是20m的电信光纤仍然到不了红伞的云端。只能看着那闪烁的ip地址：53.XXXXXXXXXX，就是没有一个回应。只能放弃，但是看过红伞的白皮书，模式似乎和卡巴差不多，应该也是不错的把，哈哈哈哈
还说最后一句，卡巴云端分析是到发布是有时间的，最后到本机入库的就是已经签名后规规矩矩包的那些病毒名称，之前云端如果确定是病毒，只是还没进入发放到客户端的这段时间统一都是DangerousObject并且利用hash码判断节约资源，没有完全确认是病毒并且有危险行为的就是报DangerousPattern。

pal家族

终于有另外一个人通过自己观察发现了这个问题拉！

qq340496302

楼主，顺便测一下趋势吧。。。

sloganall

希望多试试看，感觉正规安全软件都不可能采用单纯依靠hash值来做出判断这么弱智的方式。

Johnkay.Young

支持lz测试其它产品。

pal家族

扫描都不会激活这个动作

这一点不对，扫描可以触发这个报法。
只需要等一会儿没那个文件就会消失。
试试？？？

ccboxes

hash拉黑这种笨办法主流厂商应该已经没有单独用的了。

cfhdrty

改md5或者加壳就能让卡巴报dangerouspattern？那为什么样本区很少这种报法呢

sunnyjianna

卡巴不错

蓝泽祈

卡巴一直很不错，就是程序本身bug有点蛋疼