0517高质量样本

huang1111

温馨小屋 发表于 2019-5-17 22:08
小a入库了啊，明显是病毒库报法，卡巴到现在还没有入库

没啥动作，卡巴提交了以后也没啥用，其他杀软就是仓促入库，毒名估计也是五花八门

冰血封心

温馨小屋 发表于 2019-5-17 22:08
小a入库了啊，明显是病毒库报法，卡巴到现在还没有入库

我根本不需要骂街因为小白看不懂，老鸟心中都有数。我误导过谁？你的意思非要吹捧出一个世界第一杀毒才行？是谁在鼓吹？你说的这些话都在这，是谁在不懂装懂，有脑子的人看了自会分辨。抬杠没意思只会让帖子积累一些没用的废话。

麻衣神相

冰血封心 发表于 2019-5-17 21:12
我只是回复别人BD对这个样本的查杀情况，你怎么和他一样在扯别的？我说过BD查杀别的了吗？这个样本没有什 ...

没扯别的，都明白你的意思，你认为对病毒报具体分类具体名称才是真的杀，我认为报Packed、Strictor、伪造签名也算杀，厂家不是胡乱杀的也是有特征匹配的，不能单纯说是误杀。

CBI

kaba666 发表于 2019-5-17 21:29
这个对于高级用户来说，已经防住了！我也只有这么解释！

我突然想起了，ESET的HIPS选择交互模式，弹窗无脑拒绝，基本样本区百毒不侵
嗯是的，ESET 666

温馨小屋

huang1111 发表于 2019-5-17 22:12
没啥动作，卡巴提交了以后也没啥用，其他杀软就是仓促入库，毒名估计也是五花八门

对于这种病毒动态分析作用不大，触发太难，主要还是得靠静态分析解决，直接找到病毒模块就行了，这就考验厂商分析功力了，有几家厂商分析出来了，报毒应该很快就会在VT上扩散了。。。

CBI

温馨小屋 发表于 2019-5-17 21:48
卡巴确实是没反应，本来这类远控类程序就不好判断，要是动作不大的话更是难以分辨，只能等文件落地发作或 ...

卡巴的主防对远控一向疲软，不过见证了ATD怎么回滚了我的IDM，我感觉卡巴的主防也算是权益之策了

kaba666

神算子 发表于 2019-5-17 22:06
你是说免费版的防不住

可以这么说！毕竟没防火墙，免费版也可以开交互模式！但是开了，也用不了防火墙！针对这种样本光用应程序控制功能不能完全拦截它，它还要联网，远控程序！得要防火墙配合！

冰血封心

麻衣神相 发表于 2019-5-17 22:16
没扯别的，都明白你的意思，你认为对病毒报具体分类具体名称才是真的杀，我认为报Packed、Strictor、伪造 ...

如果确定样本自身没有恶意行为只是破坏了数字签名我认为是误杀。从安全角度来说数字签名本身就是一个玄学。你说对不对？举例：如果浏览器的数字签名被稍微改动了一个字符，那么杀毒也要干掉？当病毒处理？那只是怀疑，并没有确认行为。

温馨小屋

麻衣神相 发表于 2019-5-17 22:16
没扯别的，都明白你的意思，你认为对病毒报具体分类具体名称才是真的杀，我认为报Packed、Strictor、伪造 ...

真的是，别看BD很多特征都是乱码，给人一种好像哈希拉黑的感觉，但是加了壳修改MD5之后还能保持不错的查杀率，说明大部分乱码都是提取了特征做了通杀的，但是BD针对免杀似乎不是很强，毕竟BD的扫描速度超了卡巴诺顿一条街

麻衣神相

温馨小屋 发表于 2019-5-17 21:43
不是这个意思的，BD大部分报法都是乱码，当年的WCRY一开始也是乱码入库，就算针对分析之后也不见得会有具 ...

楼主认为对病毒报具体分类具体名称才是真的杀，我认为报Strictor、Packed、混淆器、伪造签名也算杀，说实在的BD的Strictor报法，跟Symantec等其他厂家报Packed类似