管家的启发和脱壳能力咋样

☆星~柯南Conan

191196846 发表于 2019-4-3 17:45
那是因为部分样本与之前的集重复了，加壳后hash重复，VT已经暴露了
https://upx.github.io/ 你随便拿个 ...

我现在的确没有PE样本来证明，但也不能说“根本没有”吧？脚本启发都有了，我只是还没发现PE样本的启发报法，这不代表它就没有，脚本启发的报法也是我最近不经意中发现的。我说管家的启发和脱壳能力目前来看还不是很强。我有说错吗？

KEVINZHANG

管家最神奇的是他的启发在云端。。。。。。
这会导致一个问题：
一个毒包，扫了一遍，没扫出来几个，然后他慢慢地限速上传了。。。。。过了半小时。。。再扫，冒出来一大堆。。。。。
这就是大部分引擎放在云端的结果。。
我用下来感觉脱壳的能力固然有，但是。。。。。在云端处理太难受了

Jerry.Lin

KEVINZHANG 发表于 2019-4-3 22:37
管家最神奇的是他的启发在云端。。。。。。
这会导致一个问题：
一个毒包，扫了一遍，没扫出来几个，然后 ...

并不是，是从VT上抄结果的，有用户将样本上传到VT

很简单的方法测试，自己加壳，不发到公网，隔天后看结果

Plus管家基本不具有自动上传功能（你可以观察扫描到未知文件时上传的流量），不像360
更正下，未知文件自动上传功能

KEVINZHANG

191196846 发表于 2019-4-3 22:44
并不是，是从VT上抄结果的，有用户将样本上传到VT

很简单的方法测试，自己加壳，不发到公网，隔天后看 ...

那只是扫描的时候，如果你进行全盘扫描或者是扫描一大片，你会发现一直在上传，对于单个文件扫描他好像不会立刻上传，过了一会儿看流量实时监控，会发现qqpcrtp在上传
。。。。。当然，不可否认的是，的确有传到VT上才报病毒的情况

Jerry.Lin

☆星~柯南Conan 发表于 2019-4-3 22:25
我现在的确没有PE样本来证明，但也不能说“根本没有”吧？脚本启发都有了，我只是还没发现PE样本的启发报 ...

如果你把非PE类的算进去，那也行，那我也可以说 不是很强=渣渣一个，你的表达太委婉了，我帮你改下

那脱壳能力呢？拿个upx 这种最最最基本普遍的压缩壳都不能脱基本可以说明管家的引擎是不具备任何脱壳能力的，你要不要自己试下？

Jerry.Lin

KEVINZHANG 发表于 2019-4-3 22:47
那只是扫描的时候，如果你进行全盘扫描或者是扫描一大片，你会发现一直在上传，对于单个文件扫描他好像不 ...

好的，有空我验证下

KEVINZHANG

191196846 发表于 2019-4-3 22:53
好的，有空我验证下

全盘扫描最是神奇。。。扫描完了差不多3分钟之内还在一个劲地上传。。。
还有一种情况，就是你开了BD引擎，扫到了都或者heur查到了毒，他会上传

www-tekeze

一定要在卫士和管家两者中做选择，我选管家清爽版，正常用电脑而不是在样本区玩，管家够了，虽然查杀率明显比不上大数字，但误报控制好很多，起码少给我添堵！ 要求高就加上BD引擎。。。至于管家的启发/脱壳/主防，也算个老话题了，不参与。。。

PS：79元换了个360 V2 路由器，拦截黑网址还不错。。

Jerry.Lin

KEVINZHANG 发表于 2019-4-3 22:56
全盘扫描最是神奇。。。扫描完了差不多3分钟之内还在一个劲地上传。。。
还有一种情况，就是你开了BD引 ...

你要看是报毒的上传还是未知的上传？像BD报毒自动上传这类的话不算未知文件自动上传

我以前的测试得出的是对未知文件都不会上传的，你说的情况我试下

Jerry.Lin

KEVINZHANG 发表于 2019-4-3 22:47
那只是扫描的时候，如果你进行全盘扫描或者是扫描一大片，你会发现一直在上传，对于单个文件扫描他好像不 ...

上传的是像BD已报毒/或者部分非PE报毒但hash不在云端的样本吧？