#PACKAGE 0817

显示全部楼层 · 发表于 2018-8-18 07:42:02

1094947421 发表于 2018-8-17 22:48
一共10个，那么问题来了，它是怎么杀9剩4的？

你的结果是对的

显示全部楼层 · 发表于 2018-8-18 07:43:19

www-tekeze 发表于 2018-8-17 22:51
智量现在清空。。

看了一下4号报的是Heur, 那就和更新没有关系了，一开始就是10个。

那位同学应该是用智量扫描的时候又被Windows Defender拦截了.

显示全部楼层 · 发表于 2018-8-18 07:45:55

Severn' 发表于 2018-8-18 05:51
剩4号......

4号报告的是Heur, 那应该是一开始就已经报告了

但是你这儿没报，猜测应该是被Windows Defender拦截智量扫描了，你可以看看Windows Defender的历史纪录里有没有4号。

测试样本的时候请将样本下载到Windows Defender的信任文件夹里，然后解压缩后使用智量扫描才能得出正确结果.

显示全部楼层 · 发表于 2018-8-18 08:59:44

BeatTrojan 发表于 2018-8-18 07:42
你的结果是对的

？？？他的意思是“杀9剩4”总样本数就应该是13个，而不是10个。。

显示全部楼层 · 发表于 2018-8-18 09:03:43

BeatTrojan 发表于 2018-8-18 07:43
看了一下4号报的是Heur, 那就和更新没有关系了，一开始就是10个。

那位同学应该是用智量扫描的时候又 ...

哦，没注意看报毒名，以前你解释过的，就算是Trojan也不一定是流式更新，而Heur一定是本地引擎报出的。

显示全部楼层 · 发表于 2018-8-18 17:13:09

BeatTrojan 发表于 2018-8-18 07:45
4号报告的是Heur, 那应该是一开始就已经报告了

但是你这儿没报，猜测应该是被Windows Defender ...

好的下次注意下

显示全部楼层 · 发表于 2018-8-18 18:04:06

本帖最后由 Karna 于 2018-8-18 18:09 编辑

dreams521 发表于 2018-8-18 01:06
我不知道

要不试一下吧，我这里暂时没办法，其它虚拟机的成绩确实不准确，每次都有检测虚拟机的毒，各种自退自删除。说实话，这个测试继续做下去，挺影响卡巴的风评......

显示全部楼层 · 发表于 2018-8-18 19:20:46

Karna 发表于 2018-8-18 18:04
要不试一下吧，我这里暂时没办法，其它虚拟机的成绩确实不准确，每次都有检测虚拟机的毒，各种自退自删除 ...

其实我觉得，应该把未跑出行为的样本剔除后再计算成绩，保证公平

显示全部楼层 · 发表于 2018-8-18 20:42:24

Karna 发表于 2018-8-18 18:04
要不试一下吧，我这里暂时没办法，其它虚拟机的成绩确实不准确，每次都有检测虚拟机的毒，各种自退自删除 ...

为什么会影响呢。。。
还不是因为样本是修改md5的，重要的云检测没有的缘故吗
大家心里清除其实就可以了

显示全部楼层 · 发表于 2018-8-18 20:52:15

本帖最后由 Karna 于 2018-8-18 21:11 编辑

pal家族发表于 2018-8-18 20:42
为什么会影响呢。。。
还不是因为样本是修改md5的，重要的云检测没有的缘故吗
大家心里清除其实就可以 ...

有的样本在虚拟机环境里跑不出行为，对于这个测试者很难判断是不是漏了，那个测试汇总贴，估计全部都算成是卡巴未检出。。。

像这种带环境检测的毒，还没加载恶意payload就退了的，Box&VM环境就测不出SW这种防御点靠后的主防

[病毒样本] #PACKAGE 0817