0517高质量样本

学雷锋做人

冰血封心 发表于 2019-5-17 12:52
一切打着的AI都是吹牛逼，也就骗骗不懂电脑的文盲吧？

https://bbs.kafan.cn/thread-2149634-1-1.html  我正面对刚智量官方，你可以看看

冰血封心

学雷锋做人 发表于 2019-5-17 12:54
https://bbs.kafan.cn/thread-2149634-1-1.html  我正面对刚智量官方，你可以看看

不用看了，我的直觉告诉我，智量误报易语言是有依据的。只是官方不知道怎么来解释。误报就是误报，人工入库就是人工入库，没有什么可丢人的。但是吹牛逼就不对了。

kaba666

冰血封心 发表于 2019-5-17 12:42
你终于醒悟了，知道测试的点了。他这个远控是通过和游戏数据混包分包然后再合并完成的，要不我早期能说把 ...

还是有3.4个不同ip,我图还没载完,太多了,从端口和一个特殊IP就能看出来不同寻常!

冰血封心

kaba666 发表于 2019-5-17 12:59
还是有3.4个不同ip,我图还没载完,太多了,从端口和一个特殊IP就能看出来不同寻常!

嗯，你终于醒悟认真看别人发表的文字了。这个样本有时候还会通过了CDN、代{过}{滤}理等手法隐藏自己的真实IP，所以你不知道分析的点，很容易被样本迷惑。这个样本很多IP是其他功能会混淆分析人员。所以我前几天一开贴就说了这个样本包括了很多典型技术。

kaba666

冰血封心 发表于 2019-5-17 13:01
嗯，你终于醒悟认真看别人发表的文字了。这个样本有时候还会通过了CDN、代{过}{滤}理等手法隐藏自己的真 ...

我没看别人的!也重来不去参考别人的,自己测试最真实!不过这样本,在卡巴手动模式下,逃不过!除非先加驱动,得让卡巴没拦截到!然后想干什么都可以了!我想加驱动,就会独发卡巴的主防!可能同样败下!

冰血封心

kaba666 发表于 2019-5-17 13:12
我没看别人的!也重来不去参考别人的,自己测试最真实!不过这样本,在卡巴手动模式下,逃不过!除非先加驱动, ...

给你加一点提示吧，这个隐藏点是这样，如果是一款软件和服务器通信的只有一个IP，那么一般杀毒厂商会认为是正常通信，因为阻止IP就无法通信了。 但是在正常通信的数据包里犯罪团伙实现了远程功能。是这样一个意思。所以国外的杀毒厂商能快速启发就是因为过去的反馈知晓这个手法。你的思维还在想驱动，驱动只是迷惑杀毒的，只是样本的一部分功能。

kaba666

冰血封心 发表于 2019-5-17 13:17
给你加一点提示吧，这个隐藏点是这样，如果是一款软件和服务器通信的只有一个IP，那么一般杀毒厂商会认为 ...

恩!明白了!一般通讯都是80端口,这些!但这样本看端口和ip就不对,要是这样真要用一个固定ip和一个端口,那可以迷惑到一大片,不过用一个固定ip端口,可能不无法真正实现远控!

冰血封心

kaba666 发表于 2019-5-17 13:24
恩!明白了!一般通讯都是80端口,这些!但这样本看端口和ip就不对,要是这样真要用一个固定ip和一个端口,那可 ...

对头，你终于开窍了，这就是为什么朋友对我产生了非常大的误会的终极原因。问题的根本就是在这里。一般的病毒测试人员和杀毒厂商太自以为是，根本对这个手法不屑一顾。导致恶意样本绕过了主防。但是国外杀毒厂商态度还是非常端正的，能认真分析出毛病在哪里。这个样本有几万个，肯定不是固定IP传播者多了，已经在黑产应用很广泛了。

00zyan

360国际版默认设置 Miss

kaba666

冰血封心 发表于 2019-5-17 13:27
对头，你终于开窍了，这就是为什么朋友对我产生了非常大的误会的终极原因。问题的根本就是在这里。一般的 ...

恩!应外,说个事,这样本在卡巴的手动模式下,注入行为太多了!但同样引起测试人员的警惕!