锁主页Rootkit

显示全部楼层 · 发表于 2019-8-13 20:02:36

火绒报病毒混淆器，智量Heur杀，有空双击试试。。

显示全部楼层 · 发表于 2019-8-13 23:09:42

本帖最后由 www-tekeze 于 2019-8-13 23:13 编辑

www-tekeze 发表于 2019-8-13 20:02
火绒报病毒混淆器，智量Heur杀，有空双击试试。。

关闭绒智监控双击，首先是注册服务加驱，放行后被智量主防连杀两次！退出智量双击，动作比较多，联网、删除自身、创建系统目录等，不上图了。。。重启后用绒智快速扫描，智量无发现，火绒5.0报一个驱动为Rootkit/Thief，火绒专杀发现四项威胁，但有一项处理失败，不过再次重启检查没发现问题！

PS：联网会下载一个exe，被火绒Web防护报Rootkit/StartPage 。

显示全部楼层 · 发表于 2019-8-13 23:20:37

www-tekeze 发表于 2019-8-13 23:09
关闭绒智监控双击，首先是注册服务加驱，放行后被智量主防连杀两次！退出智量双击，动作比较多，联网、删 ...

我感觉智量的主防其实很大程度上和文件ML有关系
因为我生成了一个空的易语言，智量ML杀，关掉基础监控执行智量直接主防杀，而且报毒和你平时双击的很像，都是“WIBD:HEUR.Trojan. ”后面加上一个或两个字母

显示全部楼层 · 发表于 2019-8-13 23:27:19

记录微笑发表于 2019-8-13 23:20
我感觉智量的主防其实很大程度上和文件ML有关系
因为我生成了一个空的易语言，智量ML杀，关掉基础监控执 ...

确实不是传统的行为主防，所以官方说没有单步多步之分。。

显示全部楼层 · 发表于 2019-8-13 23:28:37

www-tekeze 发表于 2019-8-13 23:27
确实不是传统的行为主防，所以官方说没有单步多步之分。。

所以误报会上天

本来想通过行为鉴定一下结果本质是ML换个报毒名

显示全部楼层 · 发表于 2019-8-13 23:39:42

记录微笑发表于 2019-8-13 23:28
所以误报会上天
本来想通过行为鉴定一下结果本质是ML换个报毒名

2.0主防提高了查杀率但也增加了误报，我早就发现了。。。后面几次更新版本，官方也都提到降低主防误报。。

高查杀伴随高误报，也难于避免吧。。。官方将来会有得忙。。。

显示全部楼层 · 发表于 2019-8-13 23:44:25

www-tekeze 发表于 2019-8-13 23:39
2.0主防提高了查杀率但也增加了误报，我早就发现了。。。后面几次更新版本，官方也都提到降低主防误报。 ...

主要是白名单
微软在压WD的误报的时候多次和其他厂商合作建立白名单

显示全部楼层 · 发表于 2019-8-13 23:52:25

记录微笑发表于 2019-8-13 23:44
主要是白名单
微软在压WD的误报的时候多次和其他厂商合作建立白名单

除了继续优化主防模型/算法等，只能靠白名单啊，但智量怎么可能建立庞大白名单库？大数字都疲于奔命。。

显示全部楼层 · 发表于 2019-8-14 02:02:32

eset
a variant of Win32/FlyStudio.Packed.AE potentially unwanted application

显示全部楼层 · 发表于 2019-8-14 10:21:48

www-tekeze 发表于 2019-8-13 23:52
除了继续优化主防模型/算法等，只能靠白名单啊，但智量怎么可能建立庞大白名单库？大数字都疲于奔命。。[ ...

360对于国内白名单的处理是最好的。因为别人不会用那么多的财力，购买服务器。来处理海量数据。安全不挣钱谁都知道。

[病毒样本] 锁主页Rootkit

本帖子中包含更多资源

本帖子中包含更多资源