0517高质量样本

温馨小屋

huang1111 发表于 2019-5-17 16:41
自动模式下对于未知的外联，基本上杀软都是同意的，很有可能云联动吧，不过bd的云还管这个

BD的云一直都是若隐若现，不知道啥时候就抽风。。。

冰血封心

温馨小屋 发表于 2019-5-17 16:43
https://bbs.kafan.cn/thread-2149588-1-1.html

你看看这里面BD是怎么报的，建议你去多逛逛样本区，BD ...

一句话你去看我发的0515样本，你BD扫描MISS。是你自己测试发的，别在这抬杠。难道你是来吹BD的？既然是顾问团队说话要谨慎，不要乱抬杠。

温馨小屋

冰血封心 发表于 2019-5-17 16:43
你别抬杠和智量一样，我这么说肯定是有样本验证过的，之前的样本没有伪装签名的BD扫描就MISS。为了证明是 ...

入库伪装签名也不能算是误报吧，你这就又开始偏题了，拿你的几个个例就开始说这个报法是报克隆签名？看来你高中逻辑还是没有过关，这个报法里确实可能有伪装签名，但对于病毒也是这么入库的，所以你根本不可能通过此报法推导出这次就是报的伪装签名，要你拿证据又拿不出来，全靠一张嘴。

到最后你还是说出原因了吧，没有精确入库=误报？

温馨小屋

冰血封心 发表于 2019-5-17 16:45
一句话你去看我发的0515样本，你BD扫描MISS。是你自己测试发的，别在这抬杠。难道你是来吹BD的？既然是顾 ...

那个样本测试miss跟这个样本有啥关系，BD引擎本来启发就不是很深，对于高质量混淆miss一点都不奇怪，再说样本广度也不高，入不入库基本靠运气。中国区用户太少了，很有可能有些样本BD都接触不到。

我咋就成BD吹了？说不出道理来就开始贴吧式下定义？我就是说你不能说这个报法全是报伪装签名，我的测试经验告诉我不是这样的，这就成吹了，那我是不是可以说你是BD黑？大家在下面讨论你就一会这个吹那个打广告，你优越感怎么这么强？

我几年的测试经验告诉我，BD在入库方面并不是很厉害，样本区很多毒一开始都是扫描miss，和卡巴红伞的查杀率差不少，主力在防御这块。样本区BDmiss我早就习惯了，一点也不惊讶

冰血封心

温馨小屋 发表于 2019-5-17 16:51
入库伪装签名也不能算是误报吧，你这就又开始偏题了，拿你的几个个例就开始说这个报法是报克隆签名？看来 ...

你看看你又开始抬杠了，都知道自己错了还开始抬杠，有意思吗？没意义知道吗？我说我早期电脑一些正规软件数字签名被破坏了用BD经常会这样报，然后在追踪恶意样本的时候发现也这样。你自己测试也是这样还要什么证据？我的电脑都重装几百次了上哪给你拿证据？我BD都不用很久了。还是你非要抬杠来说服我？非要自己打脸？我可没有精力再验证一下智量这种事情了。交流就是来玩的，如果大部分表现都这样了你还不承认非要精确的数字那就是抬杠了。毕竟我现在不是BD用户，我也不是杀毒商。况且我说了如果你经验不足，别的专业杀毒厂商一眼就知道。我们无需抬杠吹捧较真。
我是说了误报，你有看清楚我说的依据了吗？我都怀疑你是怎么进的安软顾问团队，看帖子都连文字都没看明白就抓住一个词语抬杠。这个帖子的样本是区别与前面所有的样本的特征的，但是多了个克隆数字签名。这么和你说吧，如果我不指出远控行为来，在很多杀毒眼里这个样本就是相对安全的。只是多了个数字签名。所以我判断BD是误报，只是识别了数字签名和补丁。这就是我的依据！你既然开始是来请教的，我说了我的理由你又开始给BD找理由什么国内用的人少，入库慢这个那个的。你这是来请教的吗？你这明显是来抬杠的非要打压我证明你自己牛逼。不在回复温馨小屋，杠精。说多了没用。

温馨小屋

冰血封心 发表于 2019-5-17 16:59
你看看你又开始抬杠了，都知道自己错了还开始抬杠，有意思吗？没意义知道吗？我说我早期电脑一些正规软件 ...

你从哪句话看出我知道错了？核心问题还没解决，你从哪句话看出我自己测试也是这样了？我这的破解软件不仅签名破坏了，程序都被篡改了，引擎从来没有报过毒，报毒的都是那些有注入或修改其他程序文件行为的破解补丁，你的经验和我的经验是完全相悖的。你不用BD都很久了那你拿着你的老黄历结论上这来说个啥？刚才还信誓旦旦说BD这个报法报的就是签名伪装，现在又来找理由开脱了？你不是BD用户也不是杀毒商那你在这怎么这么确定，口中几次死无对证实验就能确定？BD的报法一直以来就是神鬼莫测，我还以为马上就要揭开秘密了呢。本来交流就是来玩的，结果你到这这个不行那个不行，别人一提出相反意见就是吹，就是经验不足，就是软文，不停地给别人下定义，有意思吗？

1：建议你提升语文阅读能力，好好看每一个字，理解核心思想
2：有本事来打我的脸，注意问题是：“证明Gen:Variant.Strictor报法全是正规软件数字签名经常被破坏或者签名伪装一类”，不要再偏题了，我已经拿出证据给你看这个报法的原因不全是签名问题，勒索也是这么报的

温馨小屋

冰血封心 发表于 2019-5-17 16:59
你看看你又开始抬杠了，都知道自己错了还开始抬杠，有意思吗？没意义知道吗？我说我早期电脑一些正规软件 ...

对于你新编辑的奇怪东西

你那个截图是依据吗？这是结论啊好不好，真不知道是谁没看明白。区别于前面所有样本特征的，所以杀了这个不杀前面那些有什么问题吗，都不是一个东西有啥可比性，而且本帖样本在VT上杀的是最多的，好几家厂商明确入库了，比前面几次的结果要好不少。你以为你是谁啊，没了你那几个杀毒大厂就活不下去了？人家见到的APT样本哪个不比你这个厉害，也就骗骗360，国外厂商都不见得鸟你，难道卡巴BD会来蹲样本区？你这理由没有任何石锤全靠推测，依据还不靠谱，让人怎么相信？我是想来请教，还以为你有什么技术方法查到了BD引擎到底杀在哪了，结果发现全是猜测，我说的那个理由是用来证明BD扫描miss不奇怪，是为了回复你那“0515没杀这次杀了就是杀签名”这个奇怪逻辑，怎么就成找理由了？你这理由我看完都要笑了，然后你一直避重就轻转移核心话题，绕开所有你解释不清的话，然后就成我吹牛逼了？解释不清楚就给对方下定义，不在回复，“不管为什么你就是杠精，就是装逼”，兄弟你多大了

我去请教老师，发现老师也不会，我为什么要继续请教？呵呵

Jerry.Lin

MBAM MISS

麻衣神相

冰血封心 发表于 2019-5-17 16:59
你看看你又开始抬杠了，都知道自己错了还开始抬杠，有意思吗？没意义知道吗？我说我早期电脑一些正规软件 ...

一个病毒有多种威胁特征，BD检测到其中一种特征，报Gen:Variant.Strictor不算误报。这个样本没报远控后门注入就算误报，报其他特征不行吗？只不过公司用户多是国外的，很少有用户能接触到国内的传奇私-Fu病毒，没捕捉样本针对性分析分类入库而已

asdfgpasdfgp

我说这病毒防云主防似乎不成功啊，病毒运行半分钟后全部被主防回滚了~~