搜索
查看: 2692|回复: 32
收起左侧

[讨论] 关于昨天的白加黑远控

  [复制链接]
ydp05160516
发表于 2018-8-9 23:36:58 | 显示全部楼层 |阅读模式
大家到样本区应该看到了那个篮球游戏图标白加黑远控了吧,是我前天找一个木马作者买的,花了10元,后来发给了安全交流qq群群主,没想到群主上传到样本区了,😓当时他说是白加黑远控我没当回事,我一直都用诺顿,于是就双击测试了一下,sonar和文件防护都是主动,防火墙也调了敏感设置,双击以后诺顿没有反应,当时我以为soanr过会出来,结果等了五分钟,没有反应,于是赶紧联系作者,他说我已经上线了,诺顿的墙似乎视而不见,我就问他我说防火墙怎么没有反应,他说是内网反弹上线,防火墙基本无效的。然后试着操纵了几下我的电脑,我问他我说卡巴能过不,他说黑dll做过深度dat免杀,事实上你们下载样本包打开压缩包会看到一个很大的dat文件,他说理论没问题。于是我下载了卡巴,双击以后也是主防和文件监控视而不见。由于是实机测试,这种东西我可不敢留在电脑上于是想想用nod32dna高启发试试,便花了5元买了一年的,大家别喷我,诺顿我都是正版的,理解一下。打开以后nod32报的是win32 inject cdfw特洛伊木马的变种。正巧群主用的是红伞,也带有高启发,于是我便把样本发给了他,双击以后红伞高启发被过了我想问问大家,对付这种源码dat深度免杀,是不是nod32高启发比较有优势,一般都是报变种,而且我也听说nod32高启发对高级程序语言编写木马效果好,真的不是宣传nod32,我一直都是诺顿粉丝的大家发表下看法
wangkaka
发表于 2018-8-10 00:10:57 | 显示全部楼层
eset高启也只能用于已知病毒的变种(混淆加壳免杀之类)。修改源码级别针对性免杀还是能过的。或者完全作者自己编写的新病毒,如果行为特征与已知毒相差很大,eset也会被过。eset厂商对于个人用户端基本是查杀已知毒策略,不追求完全未知毒的防御(eset理念就是个人客户端只需要防御已知毒,未知零日威胁交由eset公司内部分析实时下方定义)(对于eset企业用户就追求零日威胁防御了,EDTD就是这个用途)。你的样本应该是已知样本经过免杀措施,所以eset对于这一类已知毒免杀的效果较好。当然eset也有很不错的防火墙,至于防不防的住就不知道了。。。
清道夫900
发表于 2018-8-10 08:46:10 | 显示全部楼层
wangkaka 发表于 2018-8-10 00:10
eset高启也只能用于已知病毒的变种(混淆加壳免杀之类)。修改源码级别针对性免杀还是能过的。或者完全作者 ...

防火墙确实还不错   但是在策略制定上不够友好
桑德尔
发表于 2018-8-10 08:48:58 | 显示全部楼层
这种木马10块钱就能买了么,而且似乎白加黑还能过掉卡巴的受信任应用程序模式
191196846
发表于 2018-8-10 09:04:04 | 显示全部楼层
攻与防

任重而道远
迷惘的执著
发表于 2018-8-10 09:39:16 | 显示全部楼层
可怕啊。。没有能保证100%安全的杀软
ydp05160516
 楼主| 发表于 2018-8-10 10:30:58 | 显示全部楼层
桑德尔 发表于 2018-8-10 08:48
这种木马10块钱就能买了么,而且似乎白加黑还能过掉卡巴的受信任应用程序模式

我买的是木马样本,木马控制端和服务器租赁他是全包的,一个月2500,他说是包更新的,更新以后可以继续通杀国内外主流
ydp05160516
 楼主| 发表于 2018-8-10 10:31:21 | 显示全部楼层
桑德尔 发表于 2018-8-10 08:48
这种木马10块钱就能买了么,而且似乎白加黑还能过掉卡巴的受信任应用程序模式


桑德尔 发表于 2018-8-10 08:48
这种木马10块钱就能买了么,而且似乎白加黑还能过掉卡巴的受信任应用程序模式

我买的是木马样本,木马控制端和服务器租赁他是全包的,一个月2500,他说是包更新的,更新以后可以继续通杀国内外主流
asdx145288
发表于 2018-8-10 10:31:36 | 显示全部楼层
楼主,试试大蜘蛛?
桑德尔
发表于 2018-8-10 10:43:11 | 显示全部楼层
ESET是动态启发,红伞是静态启发,老样本需要较高技术才能免杀掉ESET
卡巴的启发远弱于ESET,再加上白+黑似乎很难触发SW,基本就是靠着这点过掉的卡巴
如果样本本身是一个黑exe,我相信卡巴大概率是能拦住的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-10-23 15:52 , Processed in 0.049904 second(s), 2 queries , MemCache On.

快速回复 返回顶部 返回列表