楼主: www-tekeze
收起左侧

[病毒样本] 样本集奉上_64 (09.05)

  [复制链接]
www-tekeze
 楼主| 发表于 2018-9-6 21:30:35 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-9-6 21:34 编辑
心心相印 发表于 2018-9-6 21:18
FSSA居然是0个,难道FSSA脱壳能力不行吗

你看下91、92、93楼,这些都是白文件,只是被加了盗版VMP壳,所以一个都不报是正确的,但正因为用盗版强壳加的系统文件,本身目的肯定不纯 (而且在其它机器上也运行不了),所以全杀了也没错,但那种报十来个,比如智量报11X。昨晚的卫士也用QVM报了11X,那只能说明误报率很高,至于杀个把的也不奇怪,比如SCEP和铁壳都报了#45,可能这个样本的某种特质刚好让两家的引擎命中了。。。
B100D1E55
发表于 2018-9-6 21:30:37 | 显示全部楼层
www-tekeze 发表于 2018-9-6 15:36
智量主打的AI/ML,数字的QVM也一样,但这两个大家也认为误报高 (毕竟人工智能受算法、算力的制约,我也相 ...

所以你也看到了……这就是为什么一些厂商至今仍在坚持虚拟沙盒分析,静态只敢部署在云端的原因。
www-tekeze
 楼主| 发表于 2018-9-6 21:44:15 | 显示全部楼层
B100D1E55 发表于 2018-9-6 21:30
所以你也看到了……这就是为什么一些厂商至今仍在坚持虚拟沙盒分析,静态只敢部署在云端的原因。

是啊,AI引擎直接面向终端还是不够成熟。。。我现在用火绒+智量,算取两者之长吧,快两个月了,用了两星期后在火绒论坛发了个帖,官人简单回复了下,而我直接没回复,我提醒他们一下也就行了,至于怎么做那是人家自己的事。。。http://bbs.huorong.cn/thread-48310-1-1.html
B100D1E55
发表于 2018-9-6 22:53:51 | 显示全部楼层
www-tekeze 发表于 2018-9-6 21:44
是啊,AI引擎直接面向终端还是不够成熟。。。我现在用火绒+智量,算取两者之长吧,快两个月了,用了两星 ...

你这个案例衍生一下就是一个针对性攻击的问题(样本只会在特定机器上运行),这种控制流混淆对静态引擎反倒往往没什么用,反正静态引擎不跑实际代码……不过终端产品终归是照顾大多数人,我猜这也是为什么NGAV在企业那么吃香的原因之一

此外如果你把不能运行的PE看作一个数据文件的话,可以构造一个loader读出恶意代码并注入执行,所以我当时说杀加壳但运行不起来的恶意样本也是无可厚非的,但更常见的是杀那个loader,因为一般loader特征更明显
www-tekeze
 楼主| 发表于 2018-9-6 23:17:21 | 显示全部楼层
B100D1E55 发表于 2018-9-6 22:53
你这个案例衍生一下就是一个针对性攻击的问题(样本只会在特定机器上运行),这种控制流混淆对静态引擎反 ...

也是,我用了两个月没发现智量有明显误报,日常很安静,但碰上破解、注册机这类杀得很厉害,这对正常用户 (但天朝盗版用户太多,比如象我) 也不会有干扰的,另外,象PACKAGE包里的情况你也看到了,检出率非常高,识别未知病毒比火绒强得太多了,而想对智量做免杀也很难,总之,这种AI引擎的优势也是非常明显的,所以有些帖里我戏称:火绒+智量,1+1=2 。。。后面你说的loader的事,受教了。。。
Llano_心情
发表于 2018-9-7 09:01:52 | 显示全部楼层
www-tekeze 发表于 2018-9-6 15:21
简单说,全是Win7 x64系统的自带程序,比如:记事本、写字板、画图、截图工具、计算器、控制面板、注册表 ...


你这真的把我吓到了,我还以为宇宙无敌解壳的蜘蛛都解不开这个壳。
看了63的那个包,有点奇怪的是蜘蛛也只报23、47、44这三个还都是trojan.PWS家族,而且这几个壳都是由 FLY-CODE进行处理的。而packed by PESTUB这个,问了一圈都不明白是啥=。=
www-tekeze
 楼主| 发表于 2018-9-7 10:42:17 | 显示全部楼层
Llano_心情 发表于 2018-9-7 09:01
你这真的把我吓到了,我还以为宇宙无敌解壳的蜘蛛都解不开这个壳。
看了63的那个包,有点奇怪的 ...

上个包虚拟机里能跑的是#18、23、33、41这四个,那个帖68楼有截图。。。packed by PESTUB 是蜘蛛对壳的分类吧,具体含意不清楚,你看这个老帖的10楼,有不同分类。。。https://bbs.kafan.cn/forum.php?m ... d=1015064&mobile=no
帝辛
发表于 2018-9-7 10:45:03 | 显示全部楼层
VMP能把代码虚拟化跟狗一样。。。很难杀。除非是直接杀壳的。
帝辛
发表于 2018-9-7 10:47:31 | 显示全部楼层
Llano_心情 发表于 2018-9-7 09:01
你这真的把我吓到了,我还以为宇宙无敌解壳的蜘蛛都解不开这个壳。
看了63的那个包,有点奇怪的 ...

VMP在逆向的角度基本没有脱离的可能。很难很难。根本没有通用脱壳器。逆向的都是打内存补丁。基本没有走脱壳的。四大强壳都难拖。除非官方给出通用脱壳。不然基本无解。
www-tekeze
 楼主| 发表于 2018-9-7 11:00:00 | 显示全部楼层
帝辛 发表于 2018-9-7 10:47
VMP在逆向的角度基本没有脱离的可能。很难很难。根本没有通用脱壳器。逆向的都是打内存补丁。基本没有走 ...

四大猛壳用的虚拟机加壳技术,想手工脱、脚本脱几无可能,得内存里劫持中断,但蜘蛛会不会有某种黑科技? 只是从报的packed by PESTUB来看,似乎没成功,有点象对PE壳的统称,某些家不是有packed by VMProtect的报法么。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 16:02 , Processed in 0.096915 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表