只有eset才能脱的壳？ 2白样本+2黑样本

zdlzp

xingyux1 发表于 2019-6-21 18:38
https://c-t.work/s/715a7308f6a449

除了第二个可以再试下这个……

在火绒保护下运行，按照火绒推荐操作。
删除了桌面的部分快捷方式，修改桌面背景为那个图，扫描无毒，系统正常。

操作进程：C:\WINDOWS\system32\reg.exe
命令行："C:\WINDOWS\system32\reg.exe"  add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableTaskMgr /t REG_DWORD /d 00000001 /f
父进程：C:\Documents and Settings\Administrator\Local Settings\Temp\360zip$Temp\360$0\JJY.exe
防护项目：任务管理器屏蔽配置项
目标注册表：HKEY_USERS\S-1-5-21-527237240-2111687655-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
操作类型：【写入】
数据内容：0x00000001 (1)
操作结果：已阻止
操作进程：C:\WINDOWS\system32\reg.exe
命令行："C:\WINDOWS\system32\reg.exe"  add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 00000001 /f
父进程：C:\Documents and Settings\Administrator\Local Settings\Temp\360zip$Temp\360$0\JJY.exe
防护项目：注册表编辑器屏蔽配置项
目标注册表：HKEY_USERS\S-1-5-21-527237240-2111687655-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
操作类型：【写入】
数据内容：0x00000001 (1)
操作结果：已阻止
操作进程：C:\WINDOWS\system32\reg.exe
命令行："C:\WINDOWS\system32\reg.exe"  add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v 360SafeExt /t REG_SZ /d C:\Windows\system32\360SafeExt.exe /f
防护项目：[结束]疑似利用系统进程进行恶意操作
操作目标：【创建】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\
操作结果：已阻止
操作进程：C:\WINDOWS\system32\cmd.exe
命令行："C:\WINDOWS\system32\cmd.exe"  /c wmic useraccount where name='%USERNAME%' call rename '叽叽歪' & pause
防护项目：[结束]CMD恶意操作
操作目标：【执行】 C:\WINDOWS\System32\Wbem\wmic.exe
操作结果：已阻止
操作进程：C:\WINDOWS\system32\cmd.exe
命令行："C:\WINDOWS\system32\cmd.exe"  /c copy "C:\Documents and Settings\Administrator\Local Settings\Temp\360zip$Temp\360$0\JJY.exe" "C:\Windows\system32\360SafeExt.exe"
防护项目：[阻止]篡改系统关键项
操作目标：【创建】 C:\Windows\system32\360SafeExt.exe
操作结果：已阻止
操作进程：C:\WINDOWS\system32\reg.exe
命令行："C:\WINDOWS\system32\reg.exe"  add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v 360SafeExt /t REG_SZ /d C:\Windows\system32\360SafeExt.exe /f
防护项目：[结束]疑似利用系统进程进行恶意操作
操作目标：【创建】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
操作结果：已阻止
操作进程：C:\WINDOWS\system32\cmd.exe
命令行："C:\WINDOWS\system32\cmd.exe"  /c copy "C:\Documents and Settings\Administrator\Local Settings\Temp\360zip$Temp\360$0\JJY.exe" "C:\Windows\system32\360SafeExt.exe"
防护项目：[阻止]篡改系统关键项
操作目标：【创建】 C:\Windows\system32\360SafeExt.exe
操作结果：已阻止
操作进程：C:\WINDOWS\system32\cmd.exe
命令行："C:\WINDOWS\system32\cmd.exe"  /c copy "C:\Documents and Settings\Administrator\Local Settings\Temp\360zip$Temp\360$0\JJY.exe" "C:\Windows\system32\360SafeExt.exe"
防护项目：[阻止]篡改系统关键项
操作目标：【创建】 C:\Windows\system32\360SafeExt.exe
操作结果：已阻止

xingyux1

zdlzp 发表于 2019-6-21 18:55
在火绒保护下运行，按照火绒推荐操作。
删除了桌面的部分快捷方式，修改桌面背景为那个图，扫描无毒，系 ...

我在win10沙盘里试鼠标动不了的 可能是沙盘的问题 没有到自动阻止的时间就会黑屏

zdlzp

xingyux1 发表于 2019-6-21 19:04
我在win10沙盘里试鼠标动不了的 可能是沙盘的问题

XP系统里影子模式下的结果

www-tekeze

5个文件，智量Heur杀一个黑样本。
官人来看下，MEMZ扫描和主防都不报，相信又撞白特征了。。   @智量官方

BE_HC

Norton Scan Result:
白样本不报



扫描杀1x

xingyux1

www-tekeze 发表于 2019-6-21 19:45
5个文件，智量Heur杀一个黑样本。
官人来看下，MEMZ扫描和主防都不报，相信又撞白特征了。。   @ ...

不是的 一开始智量直接5kill 然后被上传误报了…… 你可以试试看用加壳工具再加一边白文件的壳智量报不报

现在已经入库了

www-tekeze

xingyux1 发表于 2019-6-21 19:51
不是的 一开始智量直接5kill 然后被上传误报了…… 你可以试试看用加壳工具再加一边白文件的壳智量报不报 ...

一开始全杀？ 那说明你这个壳很不常见（9楼GD全报壳！），我用UPX、ASPack、ZProtect、Themida、se、VMP都试过，智量可没这么脑残！黑样本脱壳成功率在百分之80~90，白文件的话，UPX/ASPack/ZProtect基本没误报，另外三种误报率也就20%左右。

www-tekeze

双击MEMZ，怎么只看到个写MBR的动作？允许就欣赏彩虹猫吧。。   阻止的话会自动重启，但啥事没有！

xingyux1

www-tekeze 发表于 2019-6-21 20:05
一开始全杀？ 那说明你这个壳很不常见（9楼GD全报壳！），我用UPX、ASPack、ZProtect、Themida、se、VMP ...

就是全杀啊…… 不过我不知道MEMZ是不是有人点错信任上传了 MEMZ成白名单里的了

是4个 我记错了……

www-tekeze

xingyux1 发表于 2019-6-21 20:11
就是全杀啊…… 不过我不知道MEMZ是不是有人点错信任上传了 MEMZ成白名单里的了

真是病毒进白名单 那 ...

恢复虚拟机快照到昨天，断网测试，Heur报了4X，看来有3个做了误报排除，但MEMZ仍不报，说明撞白特征是以前就有了！

用户选信任当误报上传，智量就无脑加白？？哪有这种事，我当误报上传过N多，要杀的一样杀，你传多少遍也没用！这个撞白特征是厂商的失误，跟用户上传没关系。