收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 签名后的样本(测试智量用,其他也可以)
1234下一页
返回列表 发新帖
楼主: 小野泽悠贵
 收起左侧

[病毒样本] 签名后的样本(测试智量用,其他也可以)

[复制链接]
小野泽悠贵
头像被屏蔽
 楼主| 发表于 2019-5-27 13:52:53 | 显示全部楼层
www-tekeze 发表于 2019-5-27 13:51
反复试了几次,改日期后红伞在我这里直接罢工。。

给楼主提个建议,还是用正常日期,但想办法搞成 ...

我付不起那个钱..
回复

举报

www-tekeze
发表于 2019-5-27 13:54:26 | 显示全部楼层
Discuz!X 发表于 2019-5-27 13:27
?智量原始检出是20个还是21个?

导入证书那个包?本来也就只报20个 。。

回复

举报

www-tekeze
发表于 2019-5-27 14:00:40 | 显示全部楼层
Discuz!X 发表于 2019-5-27 13:52
我付不起那个钱..

哈哈,黑产的就付得起?真付得起上海域联就没那么多木马用了。。。虽然你这个帖能说明些问题,但用户不会主动去改日期吧?当然木马可以首先修改系统时间,不过那样的话某些杀软就先跪了,不知现在的司机是否修复了?

回复

举报

小野泽悠贵
头像被屏蔽
 楼主| 发表于 2019-5-27 14:09:32 | 显示全部楼层
www-tekeze 发表于 2019-5-27 14:00
哈哈,黑产的就付得起?真付得起上海域联就没那么多木马用了。。。虽然你这个帖能说明些问题,但用户不会 ...

修复了。
黑产确实付得起啊
https://www.down1s.com/
可能二次分发的吧
回复

举报

www-tekeze
发表于 2019-5-27 14:16:02 | 显示全部楼层
Discuz!X 发表于 2019-5-27 14:09
修复了。
黑产确实付得起啊
https://www.down1s.com/

才48一个,要不要我给你发个红包? 但这种签名也值钱?

不过你也别玩了,小心网警请你去喝茶。。


回复

举报

智量官方
发表于 2019-5-27 14:23:15 | 显示全部楼层
www-tekeze 发表于 2019-5-27 13:17
嗯,这个帖比较有营养,改日期后证书有效,智量miss all 。。   请官人来看看。。@智量官方

补充 ...

感谢上报,样本已处理. 另外智量肯定不是有数字签名的都不报的, 可以去看看卡饭的样本测试样本包 有多少有正规数字签名的程序.

对于特征扫描的引擎来讲, 判断标准是文件有没有特征字符串。所以用已经识别的恶意程序加个签名对特征扫描引擎当然是不会有影响. 特征扫描引擎的主要弱点是提取的特征是固定的, 大部分特征还是连续的. 这种弱点可以被myccl之类的工具利用免杀, 而这种工具对智量却无效. 另外像这样的需要改时间的不在我们的考虑范围,需要用户做操作本身都不合理, 让用户改时间还不如让用户退出杀毒软件再测试。还需要说明一点,数字签名对于恶意软件作者也是有成本的,及时的发现与封堵也是一种有效方案。

和特征码扫描引擎不一样, 数字签名肯定对启发引擎是有影响的. 像这个帖子里的两个程序:
https://bbs.kafan.cn/thread-2150384-1-1.html

https://www.virustotal.com/#/fil ... 88a735ef8/detection 49 / 71
https://www.virustotal.com/#/fil ... f11c41ac5/detection 19 / 71

加了签名后AI引擎基本都不报了。可以看到目前数字签名在AI引擎的比重占得都比较大.

对于有数字签名的程序, 易语言等我们将在6, 7月内持续优化. 到时大家可以再测试一下智量.
回复

举报

小野泽悠贵
头像被屏蔽
 楼主| 发表于 2019-5-27 14:36:13 来自手机 | 显示全部楼层
智量官方 发表于 2019-5-27 14:23
感谢上报,样本已处理. 另外智量肯定不是有数字签名的都不报的, 可以去看看卡饭的样本测试样本包 有多少 ...

" 另外像这样的需要改时间的不在我们的考虑范围,需要用户做操作本身都不合理, 让用户改时间还不如让用户退出杀毒软件再测试。"
我认为这点不对,
首先恶意程序可能分为两个部分,第一个部分先更改了时间,第二个部分才恶意操作。
第二,都说了我没有那么多钱,才这样将就,相对的模拟出数字签名受信任的环境。
第三,上述似乎有低价的证书卖出哦,如果真的话成本也并不大。
回复

举报

www-tekeze
发表于 2019-5-27 14:40:33 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-5-27 14:43 编辑
智量官方 发表于 2019-5-27 14:23
感谢上报,样本已处理. 另外智量肯定不是有数字签名的都不报的, 可以去看看卡饭的样本测试样本包 有多少 ...

毒组发的50期测试包,我也用火绒双击过很多,联网弹窗往往是绿色的,说明带得有数签,但这些样本智量都能杀!所以,“有有效数签智量就不报了”,这种观点我根本就不信,没有这么Low的杀软。。。其它的感谢解答。。

PS:但日期改变后就漏的bug或逻辑还是希望尽快修复。



回复

举报

小野泽悠贵
头像被屏蔽
 楼主| 发表于 2019-5-27 14:43:28 来自手机 | 显示全部楼层
www-tekeze 发表于 2019-5-27 14:00
哈哈,黑产的就付得起?真付得起上海域联就没那么多木马用了。。。虽然你这个帖能说明些问题,但用户不会 ...

下面是预想的病毒操作流程:
1、首先修改系统时间
2、利用powershell下载其他恶意软件
3、执行恶意软件
回复

举报

小野泽悠贵
头像被屏蔽
 楼主| 发表于 2019-5-27 14:45:17 来自手机 | 显示全部楼层
www-tekeze 发表于 2019-5-27 14:40
毒组发的50期测试包,我也用火绒双击过很多,联网弹窗往往是绿色的,说明带得有数签,但这些样本智量都能 ...

大哥,火绒联网弹窗压根就不分辨签名真假,无论自签名,过期签名都是绿色的

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 这个我知道。。。

查看全部评分

回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-5 12:43 , Processed in 0.096201 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表