自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]

85683213

ccboxes 发表于 2016-12-19 19:12
楼主的意思是说这个是他自己编写的，所以信誉肯定是未知，联网不联网就无所谓了。
BD的云从2017版开始和 ...

联网不联网当然有关系，我认为不联网大大影响了一个杀软的查杀流程

我也知道ATC根本没变，只是他岂止只是"运行之前查个白名单，拦截之后上传遥测数据"而已

你要知道我所截的图是程序在运行前后几秒Bitdefender与服务器互动的数据，在这之间一个拦截都没有，但是他仍然上传了行为到云端

ATC可能就是靠这些数据进行判断的

houtiancheng

85683213 发表于 2016-12-19 18:51
你看看他传了多少东西，这还不包括一些没有通过代{过}{滤}理又加密的传输

能否看出来BD具体上传了些什么？

ccboxes

85683213 发表于 2016-12-19 22:59
联网不联网当然有关系，我认为不联网大大影响了一个杀软的查杀流程

我也知道ATC根本没变，只是他岂止 ...

我更倾向于认为这些网络活动大部分都是反馈而非互动，所以断网关系不大。
假如ATC依靠遥测判断，那就会和WD的行为云遥测一样拦截滞后，拖慢程序反应速度，因为BD服务器在中国的延迟相当大，这也是BD卡网的原因。
就个人而言，我测试过的样本中断网和联网检测率并没有看出差距。

230f4

http://bbs.kafan.cn/forum.php?mo ... 50&pid=38993713

ccboxes

230f4 发表于 2016-12-19 23:10
谁能告诉我为什么联网状态下，这个样本http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=20 ...

测一下关闭勒索保护时的情况，我这里不知道你的密码。

houtiancheng

230f4 发表于 2016-12-19 23:10
谁能告诉我为什么联网状态下，这个样本http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=20 ...

关闭勒索保护就被加密了？
遇上一个能过BD的真不容易，求样本~

ccboxes

houtiancheng 发表于 2016-12-19 23:18
关闭勒索保护就被加密了？
遇上一个能过BD的真不容易，求样本~

很可能会在加密几个之后被杀掉，看进一步测试吧。

85683213

houtiancheng 发表于 2016-12-19 23:06
能否看出来BD具体上传了些什么？

大多都是二进位的，是文字的只有载入的dll、文件路径和一些基本资讯

你写的如果把以下这些加进去，主防应该就能侦测到

1. Dropper (非常有效，大多主防靠这个就报毒了)
2. Background Activity
3. 遍历所有目录和文件
4. 联网

不过这好像不是主防没法侦测到的藉口...


写到这边突然想到，文件路径不会是BD的一种判断方式吧......

houtiancheng

85683213 发表于 2016-12-19 23:24
大多都是二进位的，是文字的只有载入的dll、文件路径和一些基本资讯

你写的如果把以下这些加进去，主 ...

dropper肯定是不需要的了，过两天可以试试改为background看看

linzh

ddfga 发表于 2016-12-19 20:53
楼楼，求回答我的问题啊。
bdts，你添加保护目录了没？现在有人说不添加也能防，有人说不能放？
等待其 ...

BDTS设置保护目录了，不设置的是第一张图，ATC开高也被过了
以我说的为准，卫队神宠说他好像理解错了