你抄我抄大家抄，抄抄更欢乐（完结）

显示全部楼层 · 发表于 2018-6-15 14:36:17

本帖最后由 momng 于 2018-6-15 14:38 编辑

ccboxes 发表于 2018-6-15 00:45
响应速度慢很大原因是用户少，搜集不到样本，这中现状正确的思路是加强主防，毕竟主防不怕变种，不太需要 ...

大蜘蛛一直以来都很谨慎入库，并不太依靠特征码。大蜘蛛还有就是自保能力最强，能带毒环境运行，外部很难对自身漏洞进攻破。百度百科有介绍。

显示全部楼层 · 发表于 2018-6-15 14:42:25

B100D1E55 发表于 2018-6-15 11:03
对哦，忘了360，我要加进去

360 让我感到意外……

我一直以为其云差不多是QVM+多引擎，没想到还有点东西……

话说QVM到现在误报一直没降下来，可能跟数字一直使用白名单有关系……

显示全部楼层 · 发表于 2018-6-15 14:48:50

ESET会复检，赞一个。变量多了，看上去是毒就大概报了。

显示全部楼层 · 发表于 2018-6-15 15:39:58

jmxc 发表于 2018-6-15 14:24
何不把样本发出来？让坛子里的牛人分析分析啊

目前论坛自里除了杀软官人之外，就是楼主了。。。。

显示全部楼层 · 发表于 2018-6-15 16:23:51

这个帖子真心欢乐。
个人觉得VT这类的平台和杀毒软件肯定是有合作的，很大可能就会出现样本共享甚至彻底的信息共享的情况。很多杀毒软件应该会在云端对文件用一些基本的划分规则分类然后就扔在那里了，这个过程中对于文件的信用判定估计是参考厂家的报毒。但是结果卡在一个死循环上面，比如A商家误报后，B商家和C商家立马跟进，结果A商家分析后解除了误报，但是B和C由于没有针对性地对文件进行分析，于是互相参照陷入死循环……
所以这个问题又来了，那就是杀毒软件通过机器学习等方式仅仅基于文件的信息“模式”对文件的黑白硬性划分，但是它却并不去试图理解文件做了什么，这样误报是真的压不住啊……

显示全部楼层 · 发表于 2018-6-15 16:41:54

大佬，是不是基本上所有的恶意程序都可以进行文中无害化的改装啊？
以后样本区每次都混上几个这个，那就美如画了。

显示全部楼层 · 发表于 2018-6-15 16:51:19

好想用EMSI 发表于 2018-6-15 16:41
大佬，是不是基本上所有的恶意程序都可以进行文中无害化的改装啊？
以后样本区每次都混上几个这个，那就美 ...

官人蹲点加白的速度超出你的想象

显示全部楼层 · 发表于 2018-6-15 16:52:17

桑德尔发表于 2018-6-15 16:51
官人蹲点加白的速度超出你的想象

官人们辛苦了

显示全部楼层 · 发表于 2018-6-15 16:58:43

好想用EMSI 发表于 2018-6-15 16:41
大佬，是不是基本上所有的恶意程序都可以进行文中无害化的改装啊？
以后样本区每次都混上几个这个，那就美 ...

你理解错了。是特殊构造的文件，抓住eset的小缺陷，将某一报毒名的报毒元素组合起来，形成一个完全无毒但是eset会报毒的文件。不是可以使现存病毒隐藏的技术、

显示全部楼层 · 发表于 2018-6-15 17:32:45

好想用EMSI 发表于 2018-6-15 16:41
大佬，是不是基本上所有的恶意程序都可以进行文中无害化的改装啊？
以后样本区每次都混上几个这个，那就美 ...

首先楼主这个是构造误杀文件，要比免杀简单。

其次现在的大厂都是多层防御了，卡巴BD等等后面都有主防，ESET后面是高级内存扫描，不存在扫描扫不出就完蛋了的情况。

[分享] 你抄我抄大家抄，抄抄更欢乐（完结）