恶意程序图标的那些事

显示全部楼层 · 发表于 2019-5-13 11:37:45

B100D1E55 发表于 2019-5-13 11:23
全都报Trojan.Kryptik!1.B3BF，引擎是classic

被本地特征杀了……

显示全部楼层 · 发表于 2019-5-13 11:48:43

dg1vg4 发表于 2019-5-13 11:37
被本地特征杀了……

是的，测rdm的样本估计要另外做。不过我这个程序丝毫没有混淆的成分，报毒名有点迷

显示全部楼层 · 发表于 2019-5-13 15:34:35

B100D1E55 发表于 2019-5-13 01:08
那个貌似是Nullsoft Installer System的自带图标（也有人会在安装脚本里藏黑产），我小时候一直觉得里面 ...

鸭姐珍素见多识广呢~现在我看到这图标就头疼...........不过似乎也没头痛几秒，我要玩.........

显示全部楼层 · 发表于 2019-6-28 16:15:10

aiyaya8 发表于 2019-5-6 20:09
**** 作者被禁止或删除内容自动屏蔽 ****

大佬魅力怎么变成了-1

显示全部楼层 · 发表于 2019-6-28 21:43:29

谢谢分享这种病毒有小白会点击吧

显示全部楼层 · 发表于 2019-6-28 21:49:59

KLGOD 发表于 2019-6-28 21:43
谢谢分享这种病毒有小白会点击吧

有时候不一定是用户亲自点击，不少是由第一阶段载体后台触发执行，而这类载体看上去迷惑性比这些强得多

显示全部楼层 · 发表于 2019-7-3 22:33:16

不用原程序图标的病毒不是好病毒

显示全部楼层 · 发表于 2019-7-6 02:33:27

让我突然想起以前打CTF的时候，在图标资源里藏了五个字节的数据，凑成一条完整的call指令，这个小关卡也挡住了一部分人，算是达到预期了。话说仅仅是这样，用肉眼仔细看，都能看出一点点差异。

显示全部楼层 · 发表于 2019-7-6 06:15:08

idxzsthl 发表于 2019-7-6 02:33
让我突然想起以前打CTF的时候，在图标资源里藏了五个字节的数据，凑成一条完整的call指令，这个小关卡也挡 ...

是的哈哈，其实这种还挺常见。之前写过一篇相关的：https://bbs.kafan.cn/thread-2109377-1-1.html

显示全部楼层 · 发表于 2019-7-7 02:09:36

B100D1E55 发表于 2019-7-6 06:15
是的哈哈，其实这种还挺常见。之前写过一篇相关的：https://bbs.kafan.cn/thread-2109377-1-1.html

已拜读过您所有的文章，都写得很详尽，学术和实际工程的结合，使用大量的数据非常具有说服力。希望再出佳文！

[分享] 恶意程序图标的那些事