Trojan.VBS.Bolbi.V2

www-tekeze

√×√×√√× 发表于 2018-9-22 16:18
囧，补充一下，这是微点杀毒官方的技术说明：http://www.depthsec.com.cn/index.php?m=&c=Index&a=produc ...

我也懒得看了，只要你解释得通为何10个加壳白文件全被干掉，那就行了。。。

√×√×√√×

www-tekeze 发表于 2018-9-22 16:31
我也懒得看了，只要你解释得通为何10个加壳白文件全被干掉，那就行了。。。

囧，为什么是我解释不是你解释呢，不如说10个加壳白文件，原来的白文件呢？？？ 你要把原来的10个白文件拿出来才能测啊，10个白文件微点本来就会误报那和加壳有什么关系呢，我自己准备10个白文件，然后你说微点会行为杀哪种壳好了，我加上这些壳你看报不报？ 囧囧囧我看那样本测试贴你也根本是懒得看吧？ 后面双击图微点报的都是未知，这还不清楚么？报壳微点会通过行为报未知？？？ 囧囧囧

www-tekeze

√×√×√√× 发表于 2018-9-22 16:36
囧，为什么是我解释不是你解释呢，不如说10个加壳白文件，原来的白文件呢？？？ 你要把原来的10个白文件 ...

10个白文件微点本来就会误报？你是那位做测试的楼主？？ 这种假设也太离谱了吧，100%的误报？ 额，微点被黑得够惨。。。好吧，你自己加壳后试试，事实胜于雄辩，但记得加双层壳或者是强壳！

√×√×√√×

www-tekeze 发表于 2018-9-22 16:52
10个白文件微点本来就会误报？你是那位做测试的楼主？？ 这种假设也太离谱了吧，100%的误报？ 额，微点被 ...

囧，那10个白文件是哪个你知道吗？你既然都不知道里面哪10个是白文件又怎么能确定是壳的问题还是软件本身就会被微点误报的问题？ 我现在拿出10个智量误报的文件轻而易举，要我猜智量100%误报只是个报壳软件吗 囧囧囧

√×√×√√×

www-tekeze 发表于 2018-9-22 16:52
10个白文件微点本来就会误报？你是那位做测试的楼主？？ 这种假设也太离谱了吧，100%的误报？ 额，微点被 ...

囧，来了，你要的加壳，白样本winmd5，一个校验md5的小工具，分别加了vmp/zp/themida 三种壳并且保证加壳后的程序能正常运行，双层壳没有实际用处，容易加坏样本我就不加了，你要想加你可以自己加自己测！别老饭来张口，本来就是你乱猜的还要我来给你测  
无论加壳前还是加了三种壳后，微点都对些样本没有任何反应，win8 64位下 囧囧


样本包：https://share.weiyun.com/5K2Zusp
winmd51.2.vmp 代表vmp壳，winmd51.2.zp代表zp壳，winmd51.2.exe 代表themida壳，winmd51.2.bak则代表原白样本，自己将后缀改为exe可正常运行

样本未加壳前VT上只有5家误报，里面无一主流：https://www.virustotal.com/#/file/61d88865bae04716178477b28cac31a66786c072b8cb4ad89f5b5d17617a14d2/detection


加vmp壳之后猛增至17家，里面出现了数字和ESET、卡巴、瑞星麦咖啡等主流杀软的身影，并且根据麦咖啡的报法可以看出报壳明显：
https://www.virustotal.com/#/file/cf572405ae4e812a0c9cc7c26b538a496faa37a8ad92c11cbeeb9e36453307a0/detection

www-tekeze

√×√×√√× 发表于 2018-9-22 17:25
囧，来了，你要的加壳，白样本winmd5，一个校验md5的小工具，分别加了vmp/zp/themida 三种壳并且保证加壳 ...

1. 那个贴子的楼主用10个文件说明的问题，却被你用一个文件就推翻了，你这个1比人家的10还大啊，666。。。2. 你之前也提到不同环境、不同版本的微点，表现差异巨大，比如我的虚拟机是Win8.1，微点主防就常常睡觉，那会不会微点在你那里本来也就没反应？？  3. 会报VMP、SE这两种强壳的杀软多了，VT出现这种结果不奇怪，而你这个小工具未加壳时就有5家报，更不能怪别人了，自身就不够白啊。

www-tekeze

√×√×√√× 发表于 2018-9-22 17:25
囧，来了，你要的加壳，白样本winmd5，一个校验md5的小工具，分别加了vmp/zp/themida 三种壳并且保证加壳 ...

重点： 4. 加两层壳样本确实很可能坏了，但不要管，因为双击后有两次自动脱壳行为，会报的杀软自然就会报，至于样本有没有跑出真实行为已经没什么关系了，因为人家报的本来就是壳，而不是样本自身。。。PS：31楼那两个测试帖，呵呵，能真正跑的样本还达不到一半！

√×√×√√×

www-tekeze 发表于 2018-9-22 18:13
1. 那个贴子的楼主用10个文件说明的问题，却被你用一个文件就推翻了，你这个1比人家的10还大啊，666。。 ...

囧，10个文件所以说原的白文件在哪里，另外那楼主可从没说过微点行为杀壳之类的脑补话，你说了半天也不肯自己亲手去测一下，只会耍嘴皮子，别光我测，你拿出一个楼主那贴里是加壳后双击才报，原来双击不报的样本出来证明是行为杀的壳 我再拿出来一个，一人一个直到10个，这样才公平，现在我拿出来一个了，你呢？光会动动嘴？ 囧囧囧
微点win8没反应的话那贴楼主的测试环境是win10，而win8环境和win10是差不多的，你要说win7还可以，我故意拿容易误报的来测微点啊，那个VT对比贴也是让你看清楚什么才叫真正的报壳，如果不容易误报的白样本还不知被你找什么理由借口呢，就这你都能继续找， 囧囧囧，行了别光动嘴皮子了，动动手吧 囧囧囧囧

lkjx21

……     微点官人看了楼上二位的争论……可能冷笑了一下……继续下种子去了……

√×√×√√×

www-tekeze 发表于 2018-9-22 18:18
重点： 4. 加两层壳样本确实很可能坏了，但不要管，因为双击后有两次自动脱壳行为，会报的杀软自然就会报 ...

囧，好啊，那我就按你期望的加两层壳vmp和zp，一共11个白样本，加双层壳后无一例外无法运行，我觉得这种加壳根本无实际意义，因为你连壳运行的基础原理都搞错了，但还是按你说的“因为双击后有两次自动脱壳行为，会报的杀软自然就会报”然而，双击还是扫描全程微点都毫无反应，样本在这里：https://share.weiyun.com/5STzmrJ
我看你这次要怎么跳，别扯什么微点不同环境下表现不同，表现不同那是在win7和其他系统上，我的测试系统为win8 64，那贴楼主的是win10，微点在win8的测试结果和win10并无区别，你看有哪个人反馈过win8环境的测试结果和win10的有区别吗？有区别那是发生在win7上，如果有请你证明，证明不了就别脑补 呵呵呵呵呵呵
看来你和那个瑞星V17的天涯一枝花也没什么区别，都是只会动嘴皮子臆测 囧囧囧