Ikarus antivirus对大部分恶意文件仅仅只是拉黑MD5（诚招双击）

kxmp

mcafee也那样呢
mcafee病毒库是分级的

IK的t3引擎当初很出名的 是个hash拉黑那就是笑话.

Dust-;羅錠

kxmp 发表于 2018-5-19 13:50
mcafee也那样呢
mcafee病毒库是分级的

然而即使是去年的样本，修改一下MD5照样免杀，当初越出名，现在就越显得堕落。

www-tekeze

B100D1E55 发表于 2018-5-19 13:29
我个人就不怎么信非常倚重简单拉黑/信誉杀的产品，只不过平时不想引发口水和抬杠不说罢了。
就算ESET那 ...

    确实某些取舍是种设计哲学的问题，通俗点说，各家处置策略不同吧。。。微点复活了，很想看下他的牛X主防是如何对付这类混淆的，@pal家族  老大到时候要多发贴哦。。

kxmp

人工修改
https://www.virustotal.com/#/fil ... 0046ab595/detection
https://www.virustotal.com/#/fil ... fabc44b88/detection

你那个修改器 反而造成报毒更多了. 我只修改了一个字节好不好.
https://www.virustotal.com/#/fil ... 0497f4cff/detection

Dust-;羅錠

kxmp 发表于 2018-5-19 14:04
人工修改
https://www.virustotal.com/#/file/0ba1b13ba3c562f41ae269f35f22fb92ae30cd15432b9e46d4ba7e10 ...

这个修改器本来就不是简单的MD5修改，还包括其他的一些处理。

你这个样本的结果也不能说明什么，我在前面也说了，IK现在要么就是对于新样本先拉黑再分析，要么就是静态分析吃老本，然后一直拉黑MD5。然而16楼那个样本已经是去年的了，所以我对第一种情况基本不抱希望。

IK肯定是不止拉黑MD5的，但目前来说，对于新入库的样本，基本上都是拉黑MD5，这个新的概念，可能都可以追溯到几年前。

kxmp

Dust-;羅錠 发表于 2018-5-19 14:09
这个修改器本来就不是简单的MD5修改，还包括其他的一些处理。

你这个样本的结果也不能说明什么，我在 ...

First Submission        2015-09-06 21:46:24

Dust-;羅錠

kxmp 发表于 2018-5-19 14:13
First Submission        2015-09-06 21:46:24

我只能说我测试的就是像我说的一样，你只用一个样本也不能说服我。就算IK是从今年才开始拉黑MD5，也不能说比前年开始好很多，现在的事实就是，确实存在拉黑MD5的情况，且样本越新，可能性越高。

kxmp

Dust-;羅錠 发表于 2018-5-19 14:28
我只能说我测试的就是像我说的一样，你只用一个样本也不能说服我。就算IK是从今年才开始拉黑MD5，也不能 ...

今年的
https://www.virustotal.com/zh-cn ... 6ddc85174/analysis/

https://www.virustotal.com/zh-cn ... nalysis/1526711225/

Dust-;羅錠

kxmp 发表于 2018-5-19 14:29
今年的
https://www.virustotal.com/zh-cn/file/8ea8ea940224f45e7133c2dceb472313cf7aecdbf88de1228b05 ...

现在我无法把我之前测试的结果发给你，晚点给你看看我当时测试的情况。

kxmp

Dust-;羅錠 发表于 2018-5-19 14:30
现在我无法把我之前测试的结果发给你，晚点给你看看我当时测试的情况。

你测了今年的有没入库的是不是 仅拉黑?
那你不用发了
各家入库策略肯定不一样. 有今年的也不入库 纯拉黑也正常.
2018-05-19 14:40:33
15年改个hash就过ik的也被我挑出来了一个.