0517高质量样本

显示全部楼层 · 发表于 2019-5-17 22:25:25

温馨小屋发表于 2019-5-17 22:06
对的，得带防火墙的版本，开启手动模式一个一个点弹窗才可以防住。。。

如果是微软自带的防火墙加卡巴免费版可以防住吗

显示全部楼层 · 发表于 2019-5-17 22:26:00

kaba666 发表于 2019-5-17 22:21
可以这么说！毕竟没防火墙，免费版也可以开交互模式！但是开了，也用不了防火墙！针对这种样本光用应程序 ...

如果是微软自带的防火墙加卡巴免费版可以防住吗，不知道你测试过吗

显示全部楼层 · 发表于 2019-5-17 22:27:06

CBI 发表于 2019-5-17 22:17
我突然想起了，ESET的HIPS选择交互模式，弹窗无脑拒绝，基本样本区百毒不侵
嗯是的，ESET 666

嗯！对于交互模式，得要用户认真判断每一个行为！

显示全部楼层 · 发表于 2019-5-17 22:27:41

温馨小屋发表于 2019-5-17 22:23
真的是，别看BD很多特征都是乱码，给人一种好像哈希拉黑的感觉，但是加了壳修改MD5之后还能保持不错的查 ...

BD有些奇怪报法是提取过特征，做过简单的免杀

显示全部楼层 · 发表于 2019-5-17 22:28:01

冰血封心发表于 2019-5-17 22:15
我根本不需要骂街因为小白看不懂，老鸟心中都有数。我误导过谁？你的意思非要吹捧出一个世界第一杀毒才行 ...

老鸟恐怕连说都不想说，因为说了也不会有啥价值。我说了那么多你一个字也没看进去，我也是没办法了，你这是不撞南墙不回头啊

显示全部楼层 · 发表于 2019-5-17 22:30:36

麻衣神相发表于 2019-5-17 22:24
楼主认为对病毒报具体分类具体名称才是真的杀，我认为报Strictor、Packed、混淆器、伪造签名也算杀，说实 ...

我42楼就说了，他非在抬杠不懂装懂。

显示全部楼层 · 发表于 2019-5-17 22:31:09

冰血封心发表于 2019-5-17 22:22
如果确定样本自身没有恶意行为只是破坏了数字签名我认为是误杀。从安全角度来说数字签名本身就是一个玄学 ...

BD报Strictor不是因为简单的破坏签名才报，也匹配了特征的，不然误报太高了。

显示全部楼层 · 发表于 2019-5-17 22:31:33

温馨小屋发表于 2019-5-17 22:18
对于这种病毒动态分析作用不大，触发太难，主要还是得靠静态分析解决，直接找到病毒模块就行了，这就考验 ...

扫描结果未检测到威胁文件大小 4.34 MB 文件类型 PE32/EXE 扫描日期 2019 年 5 月 17 日 22:29:53 数据库发行日期 2019 年 5 月 17 日 13:48:18 UTC MD5 c768f594fe986c49f0d3cd3adcc4d6a6 SHA1 17fb2025689f15b2da87a15bc52951aefc4f5a82 SHA256 b881977bbe6b1b4714e3037d6670170f696cda174fe46e9fc2112cc2d7682e70
咳，意料之中，人工分析都不一定可行，我都不知道bd怎么分析出来的。。

显示全部楼层 · 发表于 2019-5-17 22:32:42

麻衣神相发表于 2019-5-17 22:31
BD报Strictor不是因为简单的破坏签名才报，也匹配了特征的，不然误报太高了。

就是上次BD拉黑了这个签名，上次的签名是伪造的，这次的签名是克隆的。就这么简单，另外的特征就是补丁。说白了就是参考的诺顿。我本来不想这么说，会引起口水战。他却不懂装懂，还入库这个那个的说了一大堆没用的。我不发样本他入个球。

显示全部楼层 · 发表于 2019-5-17 22:33:27

神算子发表于 2019-5-17 22:26
如果是微软自带的防火墙加卡巴免费版可以防住吗，不知道你测试过吗

关于你问的这个问题，我无法回答，因为我从来就没用过微软自带的防火墙，也从来没去测试过！我用卡巴，安装上卡巴，卡巴自动接管微软的防火墙！

[病毒样本] 0517高质量样本