楼主: B100D1E55
收起左侧

[分享] 你抄我抄大家抄,抄抄更欢乐(完结)

  [复制链接]
momng
发表于 2018-6-15 14:36:17 | 显示全部楼层
本帖最后由 momng 于 2018-6-15 14:38 编辑
ccboxes 发表于 2018-6-15 00:45
响应速度慢很大原因是用户少,搜集不到样本,这中现状正确的思路是加强主防,毕竟主防不怕变种,不太需要 ...

大蜘蛛一直以来都很谨慎入库,并不太依靠特征码。大蜘蛛还有就是自保能力最强,能带毒环境运行,外部很难对自身漏洞进攻破。百度百科有介绍。

Jerry.Lin
发表于 2018-6-15 14:42:25 | 显示全部楼层
B100D1E55 发表于 2018-6-15 11:03
对哦,忘了360,我要加进去

360 让我感到意外……

我一直以为其云差不多是QVM+多引擎,没想到还有点东西……


话说QVM到现在误报一直没降下来,可能跟数字一直使用白名单有关系……
KK院长
发表于 2018-6-15 14:48:50 | 显示全部楼层
ESET会 复检,赞一个。变量多了,看上去是毒就大概报了。
pal家族
发表于 2018-6-15 15:39:58 | 显示全部楼层
jmxc 发表于 2018-6-15 14:24
何不把样本发出来?让坛子里的牛人分析分析啊

目前论坛自里除了杀软官人之外,就是楼主了。。。。
灭灭之痕
发表于 2018-6-15 16:23:51 | 显示全部楼层
这个帖子真心欢乐。
个人觉得VT这类的平台和杀毒软件肯定是有合作的,很大可能就会出现样本共享甚至彻底的信息共享的情况。 很多杀毒软件应该会在云端对文件用一些基本的划分规则分类然后就扔在那里了,这个过程中对于文件的信用判定估计是参考厂家的报毒。但是结果卡在一个死循环上面,比如A商家误报后,B商家和C商家立马跟进,结果A商家分析后解除了误报,但是B和C由于没有针对性地对文件进行分析,于是互相参照陷入死循环……
所以这个问题又来了,那就是杀毒软件通过机器学习等方式仅仅基于文件的信息“模式”对文件的黑白硬性划分,但是它却并不去试图理解文件做了什么,这样误报是真的压不住啊……
好想用EMSI
发表于 2018-6-15 16:41:54 | 显示全部楼层
大佬,是不是基本上所有的恶意程序都可以进行文中无害化的改装啊?
以后样本区每次都混上几个这个,那就美如画了。
桑德尔
头像被屏蔽
发表于 2018-6-15 16:51:19 | 显示全部楼层
好想用EMSI 发表于 2018-6-15 16:41
大佬,是不是基本上所有的恶意程序都可以进行文中无害化的改装啊?
以后样本区每次都混上几个这个,那就美 ...

官人蹲点加白的速度超出你的想象
好想用EMSI
发表于 2018-6-15 16:52:17 | 显示全部楼层
桑德尔 发表于 2018-6-15 16:51
官人蹲点加白的速度超出你的想象

官人们辛苦了
pal家族
发表于 2018-6-15 16:58:43 | 显示全部楼层
好想用EMSI 发表于 2018-6-15 16:41
大佬,是不是基本上所有的恶意程序都可以进行文中无害化的改装啊?
以后样本区每次都混上几个这个,那就美 ...

你理解错了。是特殊构造的文件,抓住eset的小缺陷,将某一报毒名的报毒元素组合起来,形成一个完全无毒但是eset会报毒的文件。不是可以使现存病毒隐藏的技术、
ccboxes
发表于 2018-6-15 17:32:45 | 显示全部楼层
好想用EMSI 发表于 2018-6-15 16:41
大佬,是不是基本上所有的恶意程序都可以进行文中无害化的改装啊?
以后样本区每次都混上几个这个,那就美 ...

首先楼主这个是构造误杀文件,要比免杀简单。

其次现在的大厂都是多层防御了,卡巴BD等等后面都有主防,ESET后面是高级内存扫描,不存在扫描扫不出就完蛋了的情况。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 14:41 , Processed in 0.091722 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表