萝莉变声器，360报未知

www-tekeze

B100D1E55 发表于 2018-7-28 00:54
就微步那个signature set，你还是别指望能检测出这种稍微复杂点的恶意程序了

如果反虚拟机，云沙箱还是会给出，但也没看到。。。这个样本火绒现在没报，如果明天、后天不报，周一我提交给官人看看，相比下我还是更相信火绒这种人工分析得出的结果。

B100D1E55

www-tekeze 发表于 2018-7-28 01:01
如果反虚拟机，云沙箱还是会给出，但也没看到。。。这个样本火绒现在没报，如果明天、后天不报，周一我提 ...

不一定要反虚拟机啊……有的spy系行为本身就不是很多，这个样本不是已经有一个网络行为了吗。而且微步那个沙箱高级一点的反虚拟机根本显示不出来的，过的方法千千万万种
公共沙箱+公共规则基本也就是杀一些行为明显的，比如bat释放、文件大规模改动、敏感位置访问……

www-tekeze

B100D1E55 发表于 2018-7-28 01:16
不一定要反虚拟机啊……有的spy系行为本身就不是很多，这个样本不是已经有一个网络行为了吗。而且微步那 ...

是会联网，但下载流量没有，难道是下载源失效？ 之前给火绒提交过一个样本，火绒报毒了，但没有下载量，官人解释就是恶意下载源已经失效。

B100D1E55

www-tekeze 发表于 2018-7-28 01:21
是会联网，但下载流量没有，难道是下载源失效？ 之前给火绒提交过一个样本，火绒报毒了，但没有下载量， ...

这种很常见，所以还是要从代码本身入手。沙箱跑行为这种外部观测方法局限性很大，跑出行为自然是好事，跑不出或者没匹配到已有规则也不代表就不是恶意程序。很多RAT之类的放普通沙箱里面跑基本没动静

www-tekeze

B100D1E55 发表于 2018-7-28 01:26
这种很常见，所以还是要从代码本身入手。沙箱跑行为这种外部观测方法局限性很大，跑出行为自然是好事，跑 ...

好吧，本身不是学软件的，过于技术性的我也不懂，RAT是比较高级的技术吧，象当初灰鸽子利用了双反弹端口，也让不少杀软束手无策。

Xironeko

www-tekeze 发表于 2018-7-27 21:58
看14楼截图左边，是有个QQ的，凭这就报毒？醉了，不过VT报的挺多，不明觉厉。。。

参考帖子https://bbs.kafan.cn/thread-2125195-1-1.html
VT报的多可能只是一个爹养活的儿子
卡巴报了 所以吧。

上上谦

360下载保护清空

hr157

压缩包下载随即报毒，没出Miss呀！

lqng

360

迷惘的执著

上上谦 发表于 2018-7-28 08:12
360下载保护清空

昨天下午拉黑的