样本集奉上_13

Jerry.Lin

www-tekeze 发表于 2018-7-6 21:30
就是主防吧，有问题还有回滚可以补救，但我从没用过BD，没什么了解。。

NS之前杀40，改过的 ...

你这里面有很多非PE文件

这些文件按照PE文件直接去改Hash的话，是有可能破坏样本导致无法正确执行（如脚本，EXP等），反病毒不报毒也是应该的

再是对非PE文件的特征提取与PE文件差很多，这样比较不一定靠谱

==================
我的样本都是PE，所以才会改Hash玩玩（论坛上的MD5_Modifier 的部分修改方法 有时会导致样本运行报错，所以我现在是批量尾部填空）

B100D1E55

191196846 发表于 2018-7-6 22:58
你这里面有很多非PE文件

这些文件按照PE文件直接去改Hash的话，是有可能破坏样本导致无法正确执行（如 ...

有的样本很神奇的，比如你可以去围观一下沙盘分析id 277的那个

pal家族

Jirehlov1234 发表于 2018-7-6 19:32
那11，36，45呢，本地的报法啊。。。

对了，你是认真的，真的想了解为什么会有三个改了md5不能检测吗？

我可以简单的告诉你下，
一个linux下的样本，你了解linux编程月win的异同吗，杀软不是直接扫描0和1的特征。。。。
一个快捷方式，你在后面加几个0和1，还是原来的东西吗？而且这个还是快捷方式启动器
一个js蠕虫，js是混淆的，和上面一样，岂容你随便加几个0就算修改了？随便加东西我不说还能不能执行了，就说杀软该怎么反混淆吧，本来根据整体混淆方式反混淆的，是一体的，现在得是人脑配合才知道怎么反混淆了，，，，就算我让它按照之前的方式反混淆，你把后面的一串0和1也带进去，还能还原本来的代码吗。。。。
这几个样本都是很特殊的。。。。

有的时候还是不要随波逐流为好，你看有的人叫得欢，不见得他说的是对的，很可能他还没你懂得多，你好歹还亲自测试了的。

Jerry.Lin

pal家族 发表于 2018-7-6 23:06
对了，你是认真的，真的想了解为什么会有三个改了md5不能检测吗？

我可以简单的告诉你下，

是啊，在保证是PE文件情况下……用PE修改Hash方式修改才靠谱呢

pal家族

B100D1E55 发表于 2018-7-6 22:57
@www-tekeze  翻了一下聊天记录，tekeze同学的确是有问我ESET改了杀几个……这种东西自己测测就行了呗

...

是啊，哪有杀软是真神。咱们卡饭就好比是几个金色大v和一堆自媒体，
自媒体们左追追右追追，争相说着和大v一样的话，哪里明白大v比他们看得清看得远，他们只能模仿罢了。

pal家族

191196846 发表于 2018-7-6 23:08
是啊，在保证是PE文件情况下……用PE修改Hash方式修改才靠谱呢

所以你的新样本卡巴修改之后也是一样的结果。。。该入库入库，该启发启发。

Jerry.Lin

pal家族 发表于 2018-7-6 23:10
所以你的新样本卡巴修改之后也是一样的结果。。。该入库入库，该启发启发。

嘻嘻~我知道改Hash逃不了本地启发，但是过的了UDS

我现在发的都是已经改过Hash了的，所以看不到UDS的报法

pal家族

191196846 发表于 2018-7-6 23:14
嘻嘻~我知道改Hash逃不了本地启发，但是过的了UDS

我现在发的都是已经改过Hash了的

直接发修改过的吗？你可以的啊。怪不得第一时间卡巴没有云杀呢。
不过这也解释了为什么你的样本卡巴重新拉黑会很快，原来是有原本要做基础的。。。。
你一开始就说嘛，，差点误导我了，我还以为卡巴检测机制变了呢

www-tekeze

191196846 发表于 2018-7-6 22:58
你这里面有很多非PE文件

这些文件按照PE文件直接去改Hash的话，是有可能破坏样本导致无法正确执行（如 ...

有道理，但只是某部分情况吧，比如BD、红伞、智量、Q管还有大数字 (都不加OEM引擎)，改MD5影响都很小，甚至报毒量还会增加，而其它的比如安天和瑞星就彻底拉稀，所以应该说和各家的技术特长还是紧密相关的吧。。

B100D1E55

pal家族 发表于 2018-7-6 23:09
是啊，哪有杀软是真神。咱们卡饭就好比是几个金色大v和一堆自媒体，
自媒体们左追追右追追，争相说着和 ...

杀软终端永远是检出可控性第一，所以部分样本改动后会过很正常。反过来库很小本地检出率又奇高无比的一般误报都扛不住，这世界上没那么多奇迹，到头来还是要脚踏实地。

当然我个人不认同那种放弃治疗，全线靠云hash拉黑的做法……