搜索
楼主: xiuzhiguo
收起左侧

[卡巴教程] 旧事重提

[复制链接]
Wesly.Zhang
发表于 2019-8-11 12:47:54 | 显示全部楼层
温馨小屋 发表于 2019-8-11 11:26
样本区遍地都是,我已经试了半个多月了,被入库了(不是UDS)想测主防怎么办,加UPX,90%几率可以过掉扫 ...

Hello,

我理一个思路,

一个样本被 UDS VHO 云特征检测到,你的要求是加壳后还是要检测到?
一个样本被本地引擎用本地库检测到,你的要求是加壳后还是要检测到?

那么你现在遇到了什么问题?云特征检测到,加壳后检测不到,还是本地库特征检测到,加壳后检测不到?分别说明。
温馨小屋
发表于 2019-8-11 13:14:12 | 显示全部楼层
Wesly.Zhang 发表于 2019-8-11 12:47
Hello,

我理一个思路,

UDS特征似乎只是拉黑MD5,使用论坛里的MD5修改工具就可以过掉云特征,被本地引擎检测到以后加壳就大概率检测不出,虽然仍有一小部分可以脱壳或者命中了其他启发规则。像ESET之类的加壳基本就没用,加了壳之后还是报原来的名字

https://bbs.kafan.cn/thread-2151987-2-1.html
这个帖子的11楼分析了BD的一些脱壳机制,很明显这个壳BD可以脱但卡巴脱不了
温馨小屋
发表于 2019-8-11 13:16:22 | 显示全部楼层
kaba666 发表于 2019-8-11 11:47
云是有优势!但是断开云,怎么办,凉拌,比如我有个笔记本电脑,在家里有网,那就不说了,我要把笔记本电 ...

所以要挑主防好的啊,毕竟没了网络病毒最大的传播渠道也没了,剩下的封堵一下U盘什么的就行了
温馨小屋
发表于 2019-8-11 14:07:30 | 显示全部楼层
Wesly.Zhang 发表于 2019-8-11 12:47
Hello,

我理一个思路,

我刚才测试了几个老样本,似乎都可以脱掉,看样子这个问题主要集中在新样本上,我之前测试的都是UDS杀或者刚本地入库几天内的那种,不过我还是觉得卡巴的脱壳能力和之前相比弱了不少
huang1111
发表于 2019-8-11 14:13:17 | 显示全部楼层
温馨小屋 发表于 2019-8-11 14:07
我刚才测试了几个老样本,似乎都可以脱掉,看样子这个问题主要集中在新样本上,我之前测试的都是UDS杀或 ...

那我可以这么理解么?
就是对于新样本,卡巴UDS可以kill,但是一旦加壳处理以后,卡巴就无法杀,请问是这个意思么?
温馨小屋
发表于 2019-8-11 14:18:12 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-8-11 14:19 编辑
huang1111 发表于 2019-8-11 14:13
那我可以这么理解么?
就是对于新样本,卡巴UDS可以kill,但是一旦加壳处理以后,卡巴就无法杀,请问是 ...

UDS改MD5就可以过,有些本地特征加壳也会过掉,我之前在样本区测试的时候能加壳的样本基本90%以上概率可以过掉

另外我还想问一句,VHO也是云杀吗?
huang1111
发表于 2019-8-11 14:23:16 | 显示全部楼层
温馨小屋 发表于 2019-8-11 14:18
UDS改MD5就可以过,有些本地特征加壳也会过掉,我之前在样本区测试的时候能加壳的样本基本90%以上概率可 ...

hello,先回答第二个问题
VHO是指机器学习的样本,一般用于比较严重的样本上面

第一个问题,我认为你可以这么理解
UDS标记以后,卡巴会迅速把样本MD5进入拉黑状态,这只是一个过渡时期,代表卡巴本地还无法检测这个样本
即使卡巴能够脱壳,也不一定代表卡巴本地能检测出这个样本
温馨小屋
发表于 2019-8-11 14:32:52 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-8-11 14:33 编辑
huang1111 发表于 2019-8-11 14:23
hello,先回答第二个问题
VHO是指机器学习的样本,一般用于比较严重的样本上面

UDS不杀壳我能理解,但是似乎新入的本地特征也不杀壳,所以你看那个加壳的样本包卡巴的结果一直都比较惨,还有之前B大的那个帖子,本地入库的样本简单加个壳就miss了。


其实我觉得这个不算大问题,老脱壳是会卡机的,加了UPX之后明显卡巴的扫描时间长了几倍,BD的脱壳也越来越少,再说UDS也不慢,就算加了VMP半小时之内也可以拉黑,这个不慌,主要是PDM别再漏勒索了,这个要命啊
另外我觉得VHO还是有云联动的,刚才那个异鬼病毒虚拟机里三天没更新的卡巴VHO报出了和实机基本一样的名字,三天前测试这个是miss的。。。
huang1111
发表于 2019-8-11 14:37:36 | 显示全部楼层
温馨小屋 发表于 2019-8-11 14:32
UDS不杀壳我能理解,但是似乎新入的本地特征也不杀壳,所以你看那个加壳的样本包卡巴的结果一直都比较惨 ...

那个样本个人认为卡巴不是十分重视,或者VT上的卡巴不代表卡巴的真实实力,本地入库的样本今天你也看到了,实际上卡巴还是可以检测打包类型,进行脱壳,只是这些被列为了不重要的报告,不给用户看
脱壳本来就不是一个很容易的事情,实际上我不认为今后的病毒会有很多新兴的,一直都会炒冷饭,从这次转型来看,今后也会逐渐发展网络安全方面,这才是今后的持久战
你反应的那个漏勒索问题我已经反馈给Spark Song了,他们已经收集了trace和视频提交给总部,应该会看到改善的结果,一有消息我会和你们说的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-10-17 06:21 , Processed in 0.061975 second(s), 15 queries .

快速回复 返回顶部 返回列表