EXE样本5X_11

你好，再见

www-tekeze 发表于 2019-1-28 15:53
什么叫函数？ 小学毕业的人不懂，让数字官人看就行了。。

官人要玩逆向，我只能玩查函数。。。函数就是API，百度一下就好。。。

BE_HC

www-tekeze 发表于 2019-1-28 15:53
什么叫函数？ 小学毕业的人不懂，让数字官人看就行了。。

Initiates a shutdown and optional restart of the specified computer, and optionally records the reason for the shutdown.

启动一个计算机开机或（可选地）重启并（可选地）记录关机原因

详情见
Windows开发员中心

欧阳宣

sentinelOne kill all

YU2711

Avira 5x

1. 01/28/2019,16-12-44        [INFO]        FP reports status 'NO False Positive' for file 'c:\idm\idm\downloads\compressed\exe样本_11\Samp(1).vir'
   
2. 01/28/2019,16-12-44        [INFO]        c:\idm\idm\downloads\compressed\exe样本_11\Samp(1).vir
   
3. 01/28/2019,16-12-44        [INFO]        [DETECTION] file contains 'TR/Dropper.Gen7'
   
4. 01/28/2019,16-12-44        [INFO]        FP reports status 'NO False Positive' for file 'c:\idm\idm\downloads\compressed\exe样本_11\Samp(2).vir'
   
5. 01/28/2019,16-12-44        [INFO]        c:\idm\idm\downloads\compressed\exe样本_11\Samp(2).vir
   
6. 01/28/2019,16-12-44        [INFO]        [DETECTION] file contains 'TR/Ransom.wevaf'
   
7. 01/28/2019,16-12-45        [INFO]        FP reports status 'NO False Positive' for file 'c:\idm\idm\downloads\compressed\exe样本_11\Samp(3).vir'
   
8. 01/28/2019,16-12-45        [INFO]        c:\idm\idm\downloads\compressed\exe样本_11\Samp(3).vir
   
9. 01/28/2019,16-12-45        [INFO]        [DETECTION] file contains 'TR/Crypt.ASPM.Gen'
   
10. 01/28/2019,16-12-48        [INFO]        FP reports status 'NO False Positive' for file 'c:\idm\idm\downloads\compressed\exe样本_11\Samp(4).vir'
    
11. 01/28/2019,16-12-48        [INFO]        The file 'c:\idm\idm\downloads\compressed\exe样本_11\Samp(4).vir' was scanned with the Protection Cloud. SHA256 = F845BEEE412C55DC458893DDDF453E7A60E6E0A0CE184A9D93DA197ECC204222
    
12. 01/28/2019,16-12-48        [INFO]        c:\idm\idm\downloads\compressed\exe样本_11\Samp(4).vir
    
13. 01/28/2019,16-12-48        [INFO]        [DETECTION] file contains 'TR/Emotet.f845be'
    
14. 01/28/2019,16-12-49        [INFO]        FP reports status 'NO False Positive' for file 'c:\idm\idm\downloads\compressed\exe样本_11\Samp(5).vir'
    
15. 01/28/2019,16-12-49        [INFO]        c:\idm\idm\downloads\compressed\exe样本_11\Samp(5).vir
    
16. 01/28/2019,16-12-49        [INFO]        [DETECTION] file contains 'TR/Ransom.gzscs'

复制代码

Trend Micro Scan 2x

1. 2019/1/28 16:41,Ransom.MSIL.BLACKWORM.SMTHAA,安全威脅,C:\Users\TEST-3\Downloads\EXE样本_11\Samp(1).vir,已移除,手動掃瞄
   
2. 2019/1/28 16:41,Ransom_RAMSIL.SM,安全威脅,C:\Users\TEST-3\Downloads\EXE样本_11\Samp(2).vir,已移除,手動掃瞄
   

复制代码

Run Miss Samp(3) Samp(5)勒索克星阻止(预设路径图片及文档) 桌面图片损毁

   17:06
在试了下Samp(5)阻止并回滚文件(刚刚可能网不好)

www-tekeze

你好，再见 发表于 2019-1-28 16:02
官人要玩逆向，我只能玩查函数。。。函数就是API，百度一下就好。。。

去去去，二十年前我学汇编时 ( 工控专业必修课 )，你恐怕还在玩泥巴，说你胖还真喘起来了。。

xzykgc4mc3

卡巴回复

1. 尊敬的用户您好，
   
2. 
   
3. 请您登陆卡巴斯基病毒检测网站：https://virusdesk.kaspersky.com/进行上传测试。
   
4. 如果对测试结果存在异议请您点击下面的“我不同意扫描结果”输入您的邮箱您会收到问题处理结果的答复。

复制代码

这回答什么也没说，是肿么回事

xzykgc4mc3

截至此时，卡巴补杀Samp(4).vir
但Samp(3).vir，卡巴依旧不报

833684

谢up

www-tekeze

xzykgc4mc3 发表于 2019-1-29 15:59
截至此时，卡巴补杀Samp(4).vir
但Samp(3).vir，卡巴依旧不报

这个#3在VT上也没几家报，上传几次智量一直不入库，火绒今日更新后也不报，当那些是误报得了。

心心相印

eis kill 4