Ikarus antivirus对大部分恶意文件仅仅只是拉黑MD5（诚招双击）

Dust-;羅錠

B100D1E55 发表于 2018-5-19 03:42
汗。。真的诶。当然ikarus估计还是有一些更复杂的静态分析的成分在里面（早年遇到过一个巨冷门injector只有 ...

是的，所以我觉得，IK现在要么就是对于新样本先拉黑再分析，要么就是静态分析吃老本，然后一直拉黑MD5。然而16楼那个样本已经是去年的了，所以我对第一种情况基本不抱希望。

B100D1E55

Dust-;羅錠 发表于 2018-5-19 03:46
是的，所以我觉得，IK现在要么就是对于新样本先拉黑再分析，要么就是静态分析吃老本，然后一直拉黑MD5。 ...

很神奇的是有一些很通用的报毒名，比如xx.crypt之类的改MD5也能免杀Ikarus，谜。。不过你对比一下16楼修改前后VT结果也能看出来60个引擎里面摸鱼的有多少……

Dust-;羅錠

B100D1E55 发表于 2018-5-19 03:50
很神奇的是有一些很通用的报毒名，比如xx.crypt之类的改MD5也能免杀Ikarus，谜。。不过你对比一下16楼修 ...

这样看下去，大概也就三A，ESET、卡巴斯基、Dr.Web还有BD在静态检测上靠谱一些。

B100D1E55

Dust-;羅錠 发表于 2018-5-19 04:00
这样看下去，大概也就三A，ESET、卡巴斯基、Dr.Web还有BD在静态检测上靠谱一些。

是的，这里面要么是主打动态检测(ESET)，要么是抗混淆较强的静态（比如3A），剩余很多坊间盛传的“大杀器”其实都不怎么经得起考验，只不过表面功夫做的好看，日常刷UI之类的。杀软爱好圈子里玄学也不少 很多小众情怀的诞生只不过是一两次瞎猫逮到死耗子的经历

petr0vic

E.K:

Antivirus signatures exist, they're still important, just not the most important. Like the seatbelt in your car; you have to have it, but it's not the most important part.

&
funny videos. Antivirus is dead?
https://www.youtube.com/channel/UC0clIvXIu9Wii4ytwLhxI4g/videos

tao8023yy

路过看热闹，。。

Jerry.Lin

B100D1E55 发表于 2018-5-19 04:06
是的，这里面要么是主打动态检测(ESET)，要么是抗混淆较强的静态（比如3A），剩余很多坊间盛传的“大杀器 ...

这个修改器我很早以前试过

令我印象深刻的是过不了火绒的拉黑：Trojan.Generic. ABCDFDE....

B100D1E55

191196846 发表于 2018-5-19 09:00
这个修改器我很早以前试过

令我印象深刻的是过不了火绒的拉黑：Trojan.Generic. ABCDFDE....

其实只要用一点fuzzy hash的技术，简单的md5改法肯定没用，更别提卡巴的lsh或者eset那种行为特征拉黑了。所以这只能说是不走心……

Dust-;羅錠

petr0vic 发表于 2018-5-19 04:22
E.K:

To be honest, the function of anti-virus software is not to detect every virus, but to control the spread of the virus.

In order to control false positives, anti-virus software should not be too aggressive, but because of this, they can't be 100% safe.

www-tekeze

B100D1E55 发表于 2018-5-19 10:36
其实只要用一点fuzzy hash的技术，简单的md5改法肯定没用，更别提卡巴的lsh或者eset那种行为特征拉黑了。 ...

这个帖里你刚回复过，看来卡巴也走心了。。    https://bbs.kafan.cn/thread-2123098-1-1.html