楼主: B100D1E55
收起左侧

[分享] 绕过动态启发之Microsoft篇

  [复制链接]
篮球高手
发表于 2017-2-10 08:49:47 | 显示全部楼层
学习了,感谢分享!
飞飞怕冷
发表于 2017-2-10 08:50:50 | 显示全部楼层
涨姿势了,学习学习
jefffire
头像被屏蔽
发表于 2017-2-10 10:41:08 | 显示全部楼层
B100D1E55 发表于 2017-2-9 21:51
哈哈说明可以检测EICAR变种很多厂商不实际测一下误报都不知道他们做了什么恐怖的事,江民有一个do ...

EICAR变种
江民早就剩个壳了
ymcyyf
发表于 2017-2-11 20:42:50 | 显示全部楼层
LZ 能不能贴一下程序源码?
f59375443
发表于 2017-2-11 21:53:02 | 显示全部楼层
B100D1E55 发表于 2017-2-9 11:46
吼吼,有点好奇SP2这个小道消息是哪打听来的……话说我对这个测试的解读也有可能有误,毕竟我们只能做 ...

有空测一下火绒吗,我现在正在跟官人吐槽火绒监控不行,正好缺证据
Hacker29cn
发表于 2017-2-11 23:40:15 | 显示全部楼层
驭龙 发表于 2017-2-9 11:19
其实我想说的是你应该用别的威胁特征测试绕过微软启发,因为这个测试代码是在MA 引擎中的,并不是启发报法

是的,可以用检测到的木马小程序做实验。另外,龙大看来资深,知道一些内幕哈~
B100D1E55
 楼主| 发表于 2017-2-12 01:46:52 | 显示全部楼层
f59375443 发表于 2017-2-11 21:53
有空测一下火绒吗,我现在正在跟官人吐槽火绒监控不行,正好缺证据

估计比较麻烦,这个构造的样本仅适用于微软……
B100D1E55
 楼主| 发表于 2017-2-12 01:48:16 | 显示全部楼层
ymcyyf 发表于 2017-2-11 20:42
LZ 能不能贴一下程序源码?

只要10行左右,相信我
一行初始化EICAR字符串
一行创建文件
一行写入文件
一行关闭文件句柄
剩下几行留给括号和include
驭龙
发表于 2017-2-12 10:34:42 | 显示全部楼层
Hacker29cn 发表于 2017-2-11 23:40
是的,可以用检测到的木马小程序做实验。另外,龙大看来资深,知道一些内幕哈~

我只是关注WD多一点,并不是资深,哈
灭灭之痕
发表于 2017-2-12 10:55:01 | 显示全部楼层
本帖最后由 灭灭之痕 于 2017-2-12 10:58 编辑
linzh 发表于 2017-2-9 11:26
话说全程除了这叁其他全部哑火?

我按照楼主的方式试了一下,写了一个特别蠢的程序(C语言初学者水平),目标也是写入一个EICAR文件。第一次不延时,第二次我用了一种特别笨的办法延时(写入文件前加了一个循环输出),结果很惨……





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:50 , Processed in 0.087757 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表