一个免杀远控

温馨小屋

BE_HC 发表于 2019-7-13 14:25
Norton Scan&Run MISS

那个EXE是白的，黑的是那个DLL，提交exe肯定是clean啊。。。

www-tekeze

SUARP-BIGNUM 发表于 2019-7-14 13:46
好久不看样本了，这个样本很早的了

那个黑dll让好多杀软都懵逼了，怎么可能是很早的？少吹牛。。。再放几个出来玩玩。。

SUARP-BIGNUM

www-tekeze 发表于 2019-7-14 17:06
那个黑dll让好多杀软都懵逼了，怎么可能是很早的？少吹牛。。。再放几个出来玩玩。。

好东西肯定要自己留着呀，这个质量也挺高的了，的确是很早的。

vm001

www-tekeze 发表于 2019-7-14 17:06
那个黑dll让好多杀软都懵逼了，怎么可能是很早的？少吹牛。。。再放几个出来玩玩。。

虽然我没下载样本，这个白利用应该是去年的了...单纯从行为防御好像就360可以

piao230229

不知道怎么实验

www-tekeze

vm001 发表于 2019-7-14 17:49
虽然我没下载样本，这个白利用应该是去年的了...单纯从行为防御好像就360可以

不太明白你说的“单纯从行为防御好像就360可以”，白+黑如何进行行为防御？如果黑dll识别不了的话。。

SUARP-BIGNUM

www-tekeze 发表于 2019-7-14 20:17
不太明白你说的“单纯从行为防御好像就360可以”，白+黑如何进行行为防御？如果黑dll识别不了的话。。[:1 ...

比方说加启动项，或者联网这些功能可能会受限

yjwfdc

www-tekeze 发表于 2019-7-14 20:17
不太明白你说的“单纯从行为防御好像就360可以”，白+黑如何进行行为防御？如果黑dll识别不了的话。。[:1 ...

其实行为防御应该不需理会白加白，白加黑，黑加黑的，行为就是行为，理你黑还是白，不准加启动就不准加，就算你是QQ也不准加，不准连网就不准连网，就算你是酷狗也不准连网。

www-tekeze

yjwfdc 发表于 2019-7-15 20:54
其实行为防御应该不需理会白加白，白加黑，黑加黑的，行为就是行为，理你黑还是白，不准加启动就不准加， ...

你的意思就是说行为才能代表本质，而不能看表面看有无数签等，问题是单步的行为往往界定不了好坏，得看整个过程吧。。。智量2.0官方有这么句介绍：“(5). 系统全景进程链追溯，粒度基于线程级，防护白加黑威胁。”，这里所说的全景进程链就是整个行为过程包括细节吧？ 如果这是正确的，那我就不懂了，是不是大数字的行为主防很牛逼？好像只有点单步拦截吧（拦截点还远没有火绒丰富），如果靠单步就能防御白加黑，那火绒岂不成了No.1 ？？

yjwfdc

www-tekeze 发表于 2019-7-15 22:10
你的意思就是说行为才能代表本质，而不能看表面看有无数签等，问题是单步的行为往往界定不了好坏，得看整 ...

360拦截点还远没有火绒丰富是怎样得知的呢？
我觉得不会吧，md的hips拦截设置项比火绒的设置项多很多啊。

单步主防确实可以防白加黑，
以前做过测试，用eq做的单步报毒规则对比微点多步主防，查杀率差不多。