Trojan.VBS.Bolbi.V2

显示全部楼层 · 发表于 2018-9-22 14:35:56

avast

显示全部楼层 · 发表于 2018-9-22 14:45:02

本帖最后由 √×√×√√× 于 2018-9-22 14:47 编辑

www-tekeze 发表于 2018-9-22 14:15
“杀壳应该在微点扫描的时候就报出来了，杀壳哪有行为杀的”，谁说的？？加壳后双击运行就必然有自动脱 ...

囧，那“如果加双层壳或者是强壳，这个行为被监控到，那不就可以报毒？”这种假想又是谁说的啊？？起码先找出一个通过行为脱壳然后再报壳的杀软吧，红伞报壳那也是扫描，不如说既然微点能够脱壳那为什么不在扫描的时候就脱壳，偏要等运行的时候再脱？扫描的时候脱不了的壳运行后也照样脱不了啊，运行后无非是样本把行为直接放到了内存里，杀软可以通过检测这些行为是否有害来报毒，和脱壳有什么关系，干嘛要运行再脱然后再报壳那不是脱裤子放屁么囧

显示全部楼层 · 发表于 2018-9-22 15:04:54

√×√×√√× 发表于 2018-9-22 14:45
囧，那“如果加双层壳或者是强壳，这个行为被监控到，那不就可以报毒？”这种假想又是谁说的啊？？起码 ...

老铁，你基本概念都搞错了。。。被加壳程序运行时会自动脱壳，这个脱壳动作或功能是加壳软件赋予它的，与第三方软件比如杀软什么的，没有半毛钱关系。。

杀软的“脱”和“自动脱”是两码事。。。

显示全部楼层 · 发表于 2018-9-22 15:12:10

www-tekeze 发表于 2018-9-22 15:04
老铁，你基本概念都搞错了。。。被加壳程序运行时会自动脱壳，这个脱壳动作或功能是加壳软件赋予它的，与 ...

囧，概念在这里你先复习一下：https://blog.csdn.net/u012278016/article/details/79450458，没有什么自动脱壳，道理就和解压缩一样，你把压缩包里的东西解压出来后原压缩包还是压缩状态，你解压出的只是文件，而不等于解压后原压缩包也就还原成原文件，你能窥见的还是只有压缩包里的文件，而压缩包依旧还是压缩包，至于他是zip还是rar你并不知道
最简单的，你觉得微点行为报壳，自己把系统记事本或者其他白文件用你认为会报壳的壳加上，然后双击运行看看微点报不报呗，结果不是一目了然的么囧囧囧

显示全部楼层 · 发表于 2018-9-22 15:13:07

√×√×√√× 发表于 2018-9-22 14:45
囧，那“如果加双层壳或者是强壳，这个行为被监控到，那不就可以报毒？”这种假想又是谁说的啊？？起码 ...

比如最常见的压缩壳，你可以想象成是用WinRAR制做的自解压程序，开始的压缩是加壳，后面的双击会自动解压，此时就是脱壳，但这个“脱壳”和杀软有关系么？
加密壳同理，有开始时的加密，双击时就会自动解密，但跟杀软没关系哈。。

显示全部楼层 · 发表于 2018-9-22 15:15:25

本帖最后由 √×√×√√× 于 2018-9-22 15:16 编辑

www-tekeze 发表于 2018-9-22 15:13
比如最常见的压缩壳，你可以想象成是用WinRAR制做的自解压程序，开始的压缩是加壳，后面的双击会自动解压 ...

囧，正好我上面也提到了压缩包，自解压行为确实跟杀软没关系，然而大部分杀软的扫描引擎都具备解压功能，换成脱壳功能的话你也可以看作是脱壳，那么在扫描的时候这个解压也好，脱壳也好的过程根本不用你双击，杀软就已经替你运行一遍了，自然用不着什么再双击去通过行为报壳，因为无论是解压也好还是脱壳也好，杀软已经依靠引擎在扫描时做过一遍了囧囧囧

显示全部楼层 · 发表于 2018-9-22 15:40:02

本帖最后由 www-tekeze 于 2018-9-22 15:41 编辑

2018-9-22 15:15
壬涼 ...

你把杀软也想得太强大了，虽然有但不是家家都能做到。。。微点扫描速度很快，估计就是哈希值比对而己，想跟红伞的静启相提并论？？微点强的是主防也就是行为杀，扫描可以说非常的辣鸡，何况还停滞了N多年。。

显示全部楼层 · 发表于 2018-9-22 15:48:38

本帖最后由 √×√×√√× 于 2018-9-22 15:59 编辑

www-tekeze 发表于 2018-9-22 15:40
你把杀软也想得太强大了，虽然有但不是家家都能做到。。。微点扫描速度很快，估计就是哈希值比对而己，想跟 ...

囧，是你既把微点想象得太差，又把微点想象得太高，微点也有自己的虚拟引擎和脱壳技术这毋庸置疑，哪来的随口的哈希值比对，哈希值比对你不会自己动手改md5测试？
红伞的扫描强大又不是单纯因为红伞的脱壳能力强大，而是基于许多种的技术积累而来，当然微点扫描结果很差是事实，但这里面有多少是因为壳才检测不出来的？而是原样本就扫不出吧，相比之下火绒之前宣称的本地脱壳技术多么多么的强大，结果扫描不也就那么回事么，五十步笑百步，微点也并没有落后多少，何况微点技术停滞了N多年，那么何来你想象中的行为报壳杀？其他先进的主流杀软有做到过的么？既然没有，那么为什么停滞了N多年的微点能做到？这不是谬论么囧囧囧
囧，还是那句话，你之前和我一样不喜欢瑞星V17那位随口就来的，那就自己也不要随口就来，一切事实源于测试，如果你对微点的一些功能有所怀疑，那么就要自己先进行测试再决定结果，怀疑微点行为报壳就早点去拿白样本自己加自己测囧囧

显示全部楼层 · 发表于 2018-9-22 16:18:57

本帖最后由 √×√×√√× 于 2018-9-22 16:20 编辑

www-tekeze 发表于 2018-9-22 15:40
你把杀软也想得太强大了，虽然有但不是家家都能做到。。。微点扫描速度很快，估计就是哈希值比对而己，想跟 ...

囧，补充一下，这是微点杀毒官方的技术说明：http://www.depthsec.com.cn/index.php?m=&c=Index&a=productgrb_sd 现在微点主防上用的扫描就是这个“微点杀毒”效果都是一样的，里面有明确写明，虚拟机脱壳，静态启发等等

囧，效果姑且不论，如果你觉得官方的介绍不可信的话，那么智量还是火绒官网写的那些技术白皮书也同样不可信了囧囧囧

显示全部楼层 · 发表于 2018-9-22 16:29:05

√×√×√√× 发表于 2018-9-22 15:48
囧，是你既把微点想象得太差，又把微点想象得太高，微点也有自己的虚拟引擎和脱壳技术这毋庸置疑，哪来的 ...

微点扫描本来就差，当然主要原因是停滞多年，入库样本太少太少，而微点主防本来就强，但仅限动作多的比如烈性的感染型的，远控那类比火绒也好不了多少，毕竟技术都源于同一家。。。可以说微点自身就是个矛盾体，所以不是我把他想象得太差，又想象得太高，你觉得一个消失快十年的公司突然复出，能正常么？？

31楼我不是给你第二期链接了么？ 30个加壳样本，双击后该杀的20个杀了17个，不该杀的10个也全杀了，这种明摆着的结果，你却认为是我的想象，真服你了。。。

[病毒样本] Trojan.VBS.Bolbi.V2