收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 DarkGate
1234下一页
返回列表 发新帖
楼主: 3245076553
 收起左侧

[病毒样本] DarkGate

[复制链接]
兔子大大
头像被屏蔽
发表于 2018-12-9 15:40:04 | 显示全部楼层
www-tekeze 发表于 2018-12-9 15:34
智量kill,火绒miss,准备双击。。

智量这种报法是拉黑的吗?最近这种报法挺多的,光拉黑也不行啊
回复

举报

www-tekeze
发表于 2018-12-9 15:41:10 | 显示全部楼层
www-tekeze 发表于 2018-12-9 15:34
智量kill,火绒miss,准备双击。。

N多个powershell弹窗,全部允许但最后出错,自动退出进程。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

www-tekeze
发表于 2018-12-9 15:57:45 | 显示全部楼层
happycat 发表于 2018-12-9 15:40
智量这种报法是拉黑的吗?最近这种报法挺多的,光拉黑也不行啊

云鉴定器下发的,但也不一定是拉黑,这几期毒组的测试包都有这种报法,少则5%左右,多则高达20%,但我测试时并没上传过,官人没回复也不可能下载样本包。。。总体看可能是智量这段时间入库的比较多吧。。。@智量官方
回复

举报

智量官方
发表于 2018-12-10 11:02:41 | 显示全部楼层
www-tekeze 发表于 2018-12-9 15:57
云鉴定器下发的,但也不一定是拉黑,这几期毒组的测试包都有这种报法,少则5%左右,多则高达20%,但我测 ...

详细解释一下Trojan.Generic这种报法.
Trojan.Generic是智量依托于对聚类的研究,研发出了一种时间复杂度较低的算法,速度远超模糊哈希,LSH之类,
这种算法能精确提炼出家族特征, 由云AI自动下发到本地, 且速度比ai引擎扫描快.

智量在扫描文件的时候会优先使用上述的家族特征扫描,因为速度比AI引擎快。没有检出的文件才使用AI引擎继续扫描,
假设一个家族的Malware有上万个文件,AI引擎能检测出其中的9999个,而漏掉1个,这一个会被提炼出家族特征下发到本地,
那所有这10000个文件都会被报Trojan.Generic. 所以随着时间的推移,Trojan.Generic会越来越多,但是如上所述,Trojan.Generic检出
的并不等于AI引擎未检出。这种报法并不等于简单拉黑。

评分

参与人数 2人气 +4 收起 理由
兔子大大 + 3 官人工作很认真哈,问题都给用户解答了
www-tekeze + 1 感谢解答: )

查看全部评分

回复

举报

智量官方
发表于 2018-12-10 11:17:23 | 显示全部楼层
再说简单一点,智量扫描一个文件分两个步骤,

1. 这个文件是否在已经观察到的恶意软件家族中,查询到了就是Trojan.Generic, 这种扫描具有速度快误报低的特点,同样有人工智能参与其中。但是已经观察到的家族HEUR同样能启发,所以报Trojan.Generic并不等于无法启发.

2。 如果查询不到,那可能是未知病毒,就会是Heur之类的报法。

评分

参与人数 1人气 +1 收起 理由
歌德塔大蜘蛛 + 1 感谢解答: )

查看全部评分

回复

举报

dreams521
发表于 2018-12-10 12:50:18 | 显示全部楼层
  1. 10.12.2018 12.49.47;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\xpswkm\0c3ef20ede53efbe5eebca50171a589731a17037147102838bdb4a41c33f94e5.vbe;C:\Users\Administrator\Desktop\xpswkm\0c3ef20ede53efbe5eebca50171a589731a17037147102838bdb4a41c33f94e5.vbe;Trojan-Dropper.VBS.Agent.lh;木马程序;12/10/2018 12:49:47
复制代码
回复

举报

www-tekeze
发表于 2018-12-10 13:04:36 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-12-10 13:06 编辑
智量官方 发表于 2018-12-10 11:02
详细解释一下Trojan.Generic这种报法.
Trojan.Generic是智量依托于对聚类的研究,研发出了一种时间复杂 ...
那所有这10000个文件都会被报Trojan.Generic. 所以随着时间的推移,Trojan.Generic会越来越多

我原来以为大版本更新后,Trojan.Generic报出的会被归类到Heur A~E,但更新了1.28、1.29发现并不是这回事,官人解释后算明白了。。。但以后随着时间推移,满屏都是Trojan.Generic也不好啊,还是希望归类下,比如现在就有PUP、Ransom、Office等分类。

Trojan.Generic报法并不等于简单拉黑,这个我到是知道,BcatTrojan官人说过了。
回复

举报

www-tekeze
发表于 2018-12-10 13:09:02 | 显示全部楼层
智量官方 发表于 2018-12-10 11:17
再说简单一点,智量扫描一个文件分两个步骤,

1. 这个文件是否在已经观察到的恶意软件家族中,查询到了就 ...

明白了,Trojan.Generic报出的误报更低,这实际上和火绒比较类似,因为火绒拉黑有人工把关,误报极低,反而HEUR、HVM等检出的还存在误报可能。。。感谢解答! 对官人的回复已截图收藏。。
回复

举报

智量官方
发表于 2018-12-10 14:12:44 | 显示全部楼层
www-tekeze 发表于 2018-12-10 13:09
明白了,Trojan.Generic报出的误报更低,这实际上和火绒比较类似,因为火绒拉黑有人工把关,误报极低,反 ...

嗯嗯 相互学习进步哈~分类更细化的建议 我们会考虑在以后的版本中优化~

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 加油!

查看全部评分

回复

举报

松竹承茂
发表于 2018-12-10 19:22:14 | 显示全部楼层
YU2711 发表于 2018-12-9 15:03
Trend Micro

wd杀了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-4 17:41 , Processed in 0.104105 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表