楼主: 冰血封心
收起左侧

[病毒样本] 0517高质量样本

  [复制链接]
温馨小屋
头像被屏蔽
发表于 2019-5-17 23:02:48 | 显示全部楼层
冰血封心 发表于 2019-5-17 23:00
看看瑞星的查杀,每次我有样本瑞星一下就命中。就是这个原因。懂了吧?瑞星就是通过补丁来定位的,这类软 ...

你说的这个有点道理,可是你是怎么推断其他杀软也是杀补丁呢?前几次样本这些杀软大多数都miss了,诺顿有几次是B杀,如果可以的话可以把补丁放出来看一下
B100D1E55
发表于 2019-5-17 23:05:08 | 显示全部楼层
温馨小屋 发表于 2019-5-17 22:45
数字签名清除之后BD依然可杀

我刚才路过就想说清除一下签名再测试一下就行了。其实之前本地不杀的另一个样本企业端早就用神经网络检出。BD报毒滚键盘不代表它是乱报,他们后台机器分拣模型很多,那些报毒名是模型名字。比如神经网络的报毒名带NN,bagging算法模型叫miata,黑易语言叫skyline,后面的数字应该是聚类,非常典型的入库手段。至于这个样本云端后台报了injector。

评分

参与人数 2人气 +2 收起 理由
温馨小屋 + 1 版区有你更精彩: )
静影沉璧 + 1

查看全部评分

冰血封心
 楼主| 发表于 2019-5-17 23:07:14 | 显示全部楼层
本帖最后由 冰血封心 于 2019-5-17 23:09 编辑
B100D1E55 发表于 2019-5-17 23:05
我刚才路过就想说清除一下签名再测试一下就行了。其实之前本地不杀的另一个样本企业端早就用神经网络检出 ...

BD之前是先扫到了签名,后来有人上报了他入库后定位到了补丁,看到诺顿也报补丁就出了后面的代码。也就是说今天的样本和之前的样本,我今天发不发这个样本BD都会报这个代码。因为之前BD已经根据诺顿出了这个代码。
所以之前BD扫描MISS,今天BD定位了签名和补丁不用上报一样出那个代码。
温馨小屋
头像被屏蔽
发表于 2019-5-17 23:09:02 | 显示全部楼层
冰血封心 发表于 2019-5-17 23:02
对于病毒分析师来说comodo更适合,对于用户来说别的可能更适合你。需求不一样,有的人要搞明白具体的行为 ...

人家前边明显问的是拿什么可以防住,类似卡巴这样的杀软都是自动化判毒,可能漏,毛豆这样的全手动肯定能防住所有病毒,我以前也曾经追求过无懈可击的防御,试过各种各样的HIPS,没过几天就放弃了,因为软件一直弹窗确实使我仔细的了解了程序行为,但是电脑是拿来用的啊,这么多弹窗根本用不了啊,一般新人容易掉坑,我就是提醒一下,要是他真的想分析的话应该已经知道怎么做了
冰血封心
 楼主| 发表于 2019-5-17 23:11:21 | 显示全部楼层
温馨小屋 发表于 2019-5-17 23:09
人家前边明显问的是拿什么可以防住,类似卡巴这样的杀软都是自动化判毒,可能漏,毛豆这样的全手动肯定能 ...

每个人的技术思维不一样,人家认为毛豆更适合他,你闲麻烦分析不了样本不代表别人吧?我就有强迫症,遇到样本我就喜欢这种狂弹窗的,这样更容易帮助自己学习。否则测试样本还有什么意思?
温馨小屋
头像被屏蔽
发表于 2019-5-17 23:15:52 | 显示全部楼层
冰血封心 发表于 2019-5-17 23:11
每个人的技术思维不一样,人家认为毛豆更适合他,你闲麻烦分析不了样本不代表别人吧?我就有强迫症,遇到 ...

你要结合上下文分析,前面卡巴手动挡就可以防住,但是他又问了系统墙可不可以防住,我说可能需要一些电脑知识才能防住,所以就来到了comodo,现在人家就是首先希望能不能自动防住,要不到卡巴那里就结束了,根本不用到comodo了,我之前也见过他在大区发帖,明显不是一个老鸟,所以综合以上我才提出了这样的建议,我又没强迫他不能用comodo,人家愿意用可以用,不愿意用拉到,只是参考意见而已
kaba666
发表于 2019-5-17 23:16:58 来自手机 | 显示全部楼层
神算子 发表于 2019-5-17 23:01
你是付费的卡巴吗

正版,3年,118
B100D1E55
发表于 2019-5-17 23:17:47 | 显示全部楼层
冰血封心 发表于 2019-5-17 23:07
BD是先扫到了签名,后来有人上报了他入库后定位到了补丁,看到诺顿也报补丁就出了后面的代码。

你之前发的一系列样本bd都在第一时间检出了,当然这个信不信由你。做企业客户端的在民用端滞后前摄性检测非常常见,不代表他们没能力检出。按过去经验,BD若跟风拉黑应该报Generic KD,带gen的是模型聚类,一般而言generic KD过几周会变成Gen,估计是定期重新训练模型覆盖离散样本。就算是zbot这种常见家族他们也是滚键盘,但不代表没分析,毕竟不是所有公司都严格遵循那个caro命名惯例
要说跟风拉黑的话avast或者avira嫌疑更大,avast一般会是从bad reputation变成evo gen,基本上就是收集了之后gpu重新训练knn模型。红伞报毒名和eset重合无数次了,而且总是后报,不排除他们背后有合作。ESET虽然分析态度总是很端正,但对于非流行入库不快
冰血封心
 楼主| 发表于 2019-5-17 23:19:21 | 显示全部楼层
温馨小屋 发表于 2019-5-17 23:15
你要结合上下文分析,前面卡巴手动挡就可以防住,但是他又问了系统墙可不可以防住,我说可能需要一些电脑 ...

还有一种可能你想过没?人家挺忙挺懒什么都懂,只是PC端需求少了。只是想随便装个差不多的杀毒。但是听说又不太靠谱。所以人家还是回归到毛豆上来,尽管麻烦一点但是还是相对靠谱一些。我认为他是这个意思。
神算子
发表于 2019-5-17 23:28:48 | 显示全部楼层

360安全卫士加上这个卡巴免费版不知道可以防住吗
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-27 15:33 , Processed in 0.092855 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表