0517高质量样本

温馨小屋

冰血封心 发表于 2019-5-17 16:18
之前我有使用过BD，正规软件数字签名经常被破坏就是这种代码+数字。

我还以为你有啥高招呢，原来是蒙的啊，BD绝大多数报法都是字母+数字乱码，只有少数著名病毒才有具体名字，乱码报毒名根本无法反向推导得出BD误报的结论
我之前也说过，只有少数厂商肯分类样本，BD就是典型的不分类样本的那一波，对于很确切的样本行为后期可能会调整定义，但绝大多数病毒就这样一直乱码下去了

冰血封心

温馨小屋 发表于 2019-5-17 16:21
我还以为你有啥高招呢，原来是蒙的啊，BD绝大多数报法都是字母+数字乱码，只有少数著名病毒才有具体名字 ...

不是，这个不是蒙的，经常开破解软件你就知道了。完全是积累的经验。当时BD被吹上天了，用过一阵子。排除签名他也是误报杀补丁。能懂吗？BD是最早杀这类软件的。BD的报毒代码完全可以参考诺顿。至于他俩啥关系不懂。现在基本都是玩手机，很少碰PC了。

温馨小屋

冰血封心 发表于 2019-5-17 16:22
不是，这个不是蒙的，经常开破解软件你就知道了。完全是积累的经验。当时BD被吹上天了，用过一阵子。

我都用四五年了，从BD2014我就开始用了，破解软件确实这么报，病毒也是这么报，BD并不分类，一律乱码入库，你可以去看看其他样本的测试结果，你的经验看来还远远不足以得出这个结论

冰血封心

温馨小屋 发表于 2019-5-17 16:24
我都用四五年了，从BD2014我就开始用了，破解软件确实这么报，病毒也是这么报，BD并不分类，一律乱码入库 ...

你问BD的病毒分析师就知道了，他要么是杀的克隆签名要么是杀补丁。连这都看不出来说明你BD白用了。这对BD来说叫通杀，对某一类文件入库后的查杀反应。

huang1111

冰血封心 发表于 2019-5-17 13:38
作为卡巴用户来说，没有几个和你一样痴迷卡巴这么专业开手动模式。恶意团伙的目的是搞用户。一般的用户认 ...

卡巴自动模式确实会pass很多（准确来说99%）的外联行为，基本上不收影响，所以这个样本极有可能可以落地，但是能不能真正的成功还是要看各家的防火墙怎么去处理的，建议你可以搞一下流程，我想要复现但是没成功。。。

温馨小屋

冰血封心 发表于 2019-5-17 16:27
你问BD的病毒分析师就知道了，他要么是杀的克隆签名要么是杀补丁。连这都看不出来说明你BD白用了。

你问过？贴一个邮件截图过来让大家开开眼。

你别偏题了，通过字母加数字报法无法得出是误杀的结论，这是高中逻辑

首先补丁就该杀，破解软件杀了也正常，我用过这么多破解软件除了杀补丁之外没有杀过被修改的主程序，只是因为没有签名导致在ATD那里权重有问题

对于病毒BD也是这么入库的，懂吗？就算你说的是正确的，BD确实会杀克隆签名，但也不能证明这次就是杀得克隆签名

温馨小屋

huang1111 发表于 2019-5-17 16:32
卡巴自动模式确实会pass很多（准确来说99%）的外联行为，基本上不收影响，所以这个样本极有可能可 ...

BD防火墙直接把样本阻止联网了，虽然有可能与云联动有关吧

huang1111

温馨小屋 发表于 2019-5-17 16:36
BD防火墙直接把样本阻止联网了，虽然有可能与云联动有关吧

自动模式下对于未知的外联，基本上杀软都是同意的，很有可能云联动吧，不过bd的云还管这个

冰血封心

温馨小屋 发表于 2019-5-17 16:36
BD防火墙直接把样本阻止联网了，虽然有可能与云联动有关吧

你别抬杠和智量一样，我这么说肯定是有样本验证过的，之前的样本没有伪装签名的BD扫描就MISS。为了证明是误会，我什么杀毒都给朋友安装过的，不是说信口开河，起码专业的厂商一定能分辨出来。这个话题就不要讨论了，BD起码没有明确指出这个样本到底哪里有问题，代码没有明确归类说服力。

温馨小屋

冰血封心 发表于 2019-5-17 16:27
你问BD的病毒分析师就知道了，他要么是杀的克隆签名要么是杀补丁。连这都看不出来说明你BD白用了。这对BD ...

https://bbs.kafan.cn/thread-2149588-1-1.html

你看看这里面BD是怎么报的，建议你去多逛逛样本区，BD这么多年一直都是这么入库，不知道到你这里咋就成克隆签名报法了，难道这几个勒索都是误报入库的？