对瑞星的引擎的抗MD5免杀能力的重新测试

dg1vg4

vm001 发表于 2016-12-24 12:43
我猜其实楼主出现的现象和你出现的这个差不多，比如金山之类就是通过收集到的某些MD5工具，然后通过大量 ...

那你有更好的MD5修改法吗？

skycai

vm001 发表于 2016-12-24 12:43
我猜其实楼主出现的现象和你出现的这个差不多，比如金山之类就是通过收集到的某些MD5工具，然后通过大量 ...

运行，这个就比较懒了。
也说一下我的看法吧

1、本地强引擎能够比较好地“无视”简单的加壳及变形能力。
2、金山知道云引擎的弱点，所以针对常用的变形工具有做专门的启发。这是一个事半功倍的办法。
3、对于采用同样方法变形，报法不是类似金山的启发报毒，又不是本地引擎的报法，那实在就无话可说。猜测就是切片了。
4、对于管家，更加无语。变形之后居然报的比原来还多。。。

shulun743

skycai 发表于 2016-12-24 12:16
你觉得精睿的vir就是vir？

不是

冷月残刀

有对比才能体现真实力，如果数据是真实的，希望瑞星还是要努力下。最关键的是实在要学会谦虚了。

vm001

dg1vg4 发表于 2016-12-24 12:44
那你有更好的MD5修改法吗？

最简单的批处理
del md5.txt
echo 666 > md5.txt
copy /b %1 + md5.txt
del md5.txt

当然有些工具可以共享，有些不可以（比如我用那个工具）

潘中医

vm001 发表于 2016-12-24 13:20
最简单的批处理
del md5.txt
echo 666 > md5.txt

@shulun743  pia pia pia pia 打脸哇

欧阳宣

shulun743 发表于 2016-12-24 12:59
不是

那你怎么就知道精睿的vir就不是exe dll com js doc？

你意思是所有可能暴露瑞星弱点的样本都是不正确的样本？

或者说如果一楼的测试结果是修改md5后照样能杀，你是不是就大大地安心，觉得这才是瑞星的真实实力，反而质疑vm001的测试？

我觉得一个人最好不要为了立场而颠倒黑白，连基本常理都不愿意分清了。

qftest

不明觉厉
倒是让我想起猪头哥的翻译帖http://bbs.kafan.cn/thread-2061099-1-1.html——“25%是基于MD5”——这句话我印象挺深

方鸿渐

qftest 发表于 2016-12-24 17:28
不明觉厉
倒是让我想起猪头哥的翻译帖http://bbs.kafan.cn/thread-2061099-1-1.html——“25%是基于 ...

果然是一篇很好的帖子，感谢分享~另外，上次看到火绒的白皮书里还提到了单位检出率，估计算上云数据，大多数国产杀软的单位检出率都得垫底。这里也贴一下猪头哥的原文：
感染指标（Indicators of compromise 简写为IOCs, 翻译的准确与否译者不敢保证，只能是字面翻译）被认为对当代公司的安全非常重要。尽管有“新一代/下一代”安全提供商的吹嘘，但它们本身既不特殊，也不先进。下图是对现今最流行的IOCs的分类，与它们实际上依赖的是何种技术。*
我们可以发现，这些IOCs所依靠的东西非常基础，有25%是基于MD5，其次就是文件名，等等。这些显而易见的不是能对现有威胁提供有效防护的手段，尽管这些经常被某些厂商拿来吹嘘（自家产品如何如何牛B）。讽刺的是，一些新来的友商们对“老旧的”特征码扫描技术不屑一顾，而对IOCs大加赞美。而实际上，这些所谓的“手段”在检测样本，应对威胁方面是最脆弱无力的。

229127553

修改器收了。。