关于昨天的白加黑远控

ydp05160516

大家到样本区应该看到了那个篮球游戏图标白加黑远控了吧，是我前天找一个木马作者买的，花了10元，后来发给了安全交流qq群群主，没想到群主上传到样本区了，😓当时他说是白加黑远控我没当回事，我一直都用诺顿，于是就双击测试了一下，sonar和文件防护都是主动，防火墙也调了敏感设置，双击以后诺顿没有反应，当时我以为soanr过会出来，结果等了五分钟，没有反应，于是赶紧联系作者，他说我已经上线了，诺顿的墙似乎视而不见，我就问他我说防火墙怎么没有反应，他说是内网反弹上线，防火墙基本无效的。然后试着操纵了几下我的电脑，我问他我说卡巴能过不，他说黑dll做过深度dat免杀，事实上你们下载样本包打开压缩包会看到一个很大的dat文件，他说理论没问题。于是我下载了卡巴，双击以后也是主防和文件监控视而不见。由于是实机测试，这种东西我可不敢留在电脑上于是想想用nod32dna高启发试试，便花了5元买了一年的，大家别喷我，诺顿我都是正版的，理解一下。打开以后nod32报的是win32 inject cdfw特洛伊木马的变种。正巧群主用的是红伞，也带有高启发，于是我便把样本发给了他，双击以后红伞高启发被过了我想问问大家，对付这种源码dat深度免杀，是不是nod32高启发比较有优势，一般都是报变种，而且我也听说nod32高启发对高级程序语言编写木马效果好，真的不是宣传nod32,我一直都是诺顿粉丝的大家发表下看法

wangkaka

eset高启也只能用于已知病毒的变种（混淆加壳免杀之类）。修改源码级别针对性免杀还是能过的。或者完全作者自己编写的新病毒，如果行为特征与已知毒相差很大，eset也会被过。eset厂商对于个人用户端基本是查杀已知毒策略，不追求完全未知毒的防御（eset理念就是个人客户端只需要防御已知毒，未知零日威胁交由eset公司内部分析实时下方定义）（对于eset企业用户就追求零日威胁防御了，EDTD就是这个用途）。你的样本应该是已知样本经过免杀措施，所以eset对于这一类已知毒免杀的效果较好。当然eset也有很不错的防火墙，至于防不防的住就不知道了。。。

清道夫900

wangkaka 发表于 2018-8-10 00:10
eset高启也只能用于已知病毒的变种（混淆加壳免杀之类）。修改源码级别针对性免杀还是能过的。或者完全作者 ...

防火墙确实还不错   但是在策略制定上不够友好

桑德尔

这种木马10块钱就能买了么，而且似乎白加黑还能过掉卡巴的受信任应用程序模式

Jerry.Lin

攻与防

任重而道远

迷惘的执著

可怕啊。。没有能保证100%安全的杀软

ydp05160516

桑德尔 发表于 2018-8-10 08:48
这种木马10块钱就能买了么，而且似乎白加黑还能过掉卡巴的受信任应用程序模式

我买的是木马样本，木马控制端和服务器租赁他是全包的，一个月2500，他说是包更新的，更新以后可以继续通杀国内外主流

ydp05160516

桑德尔 发表于 2018-8-10 08:48
这种木马10块钱就能买了么，而且似乎白加黑还能过掉卡巴的受信任应用程序模式

桑德尔 发表于 2018-8-10 08:48
这种木马10块钱就能买了么，而且似乎白加黑还能过掉卡巴的受信任应用程序模式

我买的是木马样本，木马控制端和服务器租赁他是全包的，一个月2500，他说是包更新的，更新以后可以继续通杀国内外主流

asdx145288

楼主，试试大蜘蛛？

桑德尔

ESET是动态启发，红伞是静态启发，老样本需要较高技术才能免杀掉ESET
卡巴的启发远弱于ESET，再加上白+黑似乎很难触发SW，基本就是靠着这点过掉的卡巴
如果样本本身是一个黑exe，我相信卡巴大概率是能拦住的