搜索
楼主: xingyux1
收起左侧

[病毒样本] 只有eset才能脱的壳? 2白样本+2黑样本

[复制链接]
xingyux1
 楼主| 发表于 2019-6-21 20:29:46 | 显示全部楼层
www-tekeze 发表于 2019-6-21 20:27
恢复虚拟机快照到昨天,断网测试,Heur报了4X,看来有3个做了误报排除,但MEMZ仍不报,说明撞白特征是以 ...

那就好 那是我记错了

然后这个是upx加壳 智量脱不了的


你不是说智量能脱upx的

这个就是upx的 智量脱不了……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-6-21 20:39:37 | 显示全部楼层
xingyux1 发表于 2019-6-21 20:29
那就好 那是我记错了

然后这个是upx加壳 智量脱不了的

之前我也说了,脱壳成功率在百分之80~90,你可以搜索“样本集”,我加UPX和ASPack的总共都有几千了。

比如这个就加了壳。。。https://bbs.kafan.cn/thread-2150195-1-1.html



c/mm
发表于 2019-6-21 20:43:21 | 显示全部楼层
DR.web

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
xingyux1
 楼主| 发表于 2019-6-21 20:45:43 | 显示全部楼层
www-tekeze 发表于 2019-6-21 20:39
之前我也说了,脱壳成功率在百分之80~90,你可以搜索“样本集”,我加UPX和ASPack的总共都有几千了。

...

upx这样常见的壳火绒都过不了……
不只是火绒 大部分杀软都稳脱吧

智量脱壳的稳定性还是有待提高的
智量官方
发表于 2019-6-21 21:40:28 | 显示全部楼层
www-tekeze 发表于 2019-6-21 19:45
5个文件,智量Heur杀一个黑样本。
官人来看下,MEMZ扫描和主防都不报,相信又撞白特征了。。   @ ...

感谢提醒,我们测试下
www-tekeze
发表于 2019-6-21 21:44:04 | 显示全部楼层
xingyux1 发表于 2019-6-21 20:29
那就好 那是我记错了

然后这个是upx加壳 智量脱不了的

有事离开。。。刚试,扫描确实被过,但主防还是过不了,只是在桌面和非系统盘产生了很多0字节垃圾文件,删掉就是了。。。事实上加壳的双击就会自动脱壳(不需要杀软帮忙),对于主防强大的杀软来说,Scan Miss也不用多担心。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
xingyux1
 楼主| 发表于 2019-6-21 21:46:49 | 显示全部楼层
www-tekeze 发表于 2019-6-21 21:44
有事离开。。。刚试,扫描确实被过,但主防还是过不了,只是在桌面和非系统盘产生了很多0字节垃圾文件, ...

你看一下安全区 智量主防真的那么强大吗?

另外智量的信任是根据位置和文件名来的 很不靠谱而且也不方便
改成靠hash的话就很好了
www-tekeze
发表于 2019-6-21 21:49:55 | 显示全部楼层
xingyux1 发表于 2019-6-21 20:45
upx这样常见的壳火绒都过不了……
不只是火绒 大部分杀软都稳脱吧

你可以顺着我那个帖看一下。。。UPX虽然算最常见的压缩壳,但很多杀软仍然扫描拉稀!基本不受影响的主要有ESET、WD、诺顿、红伞。 卡巴和BD也就50%左右,智量能到80%以上也不错了。

跟你说下火绒的情况,如果做了通杀,加UPX/ASPack/ZProtect基本不影响,但如果是拉黑的,基本全被过,只能改下MD5,但双击自动脱壳后被杀的可能性还是比较高。


www-tekeze
发表于 2019-6-21 22:02:57 | 显示全部楼层
xingyux1 发表于 2019-6-21 21:46
你看一下安全区 智量主防真的那么强大吗?

另外智量的信任是根据位置和文件名来的 很不靠谱而且也不方 ...

看一下安全区?呵呵,我天天在样本区玩,强不强我比你清楚得多,你才是应该去多看看。。

加信任绝大多数杀软都是根据路径来,你能告诉我哪个杀软是根据哈希来的?? 那会增加很多计算量,性能影响太大。。。比如我的应用基本全装在D盘,整个将近30G,近10万个文件,都得比较哈希吗?根据路径来就是直接跳过,简单多了。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
xingyux1
 楼主| 发表于 2019-6-21 22:06:50 | 显示全部楼层
www-tekeze 发表于 2019-6-21 22:02
看一下安全区?呵呵,我天天在样本区玩,强不强我比你清楚得多,你才是应该去多看看。。

加信任 ...

eset就可以加hash的白名单…… 另外谁说一开始就比hash的,不会先比较下大小修改时间吗?节省计算量的方法很多

单靠路径加白名单删除都会重新报毒 真的不方便 不跟你争了,以后我也不测试了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-10-17 07:09 , Processed in 0.059062 second(s), 15 queries .

快速回复 返回顶部 返回列表