实锤卡巴VHO为云杀

台风12

完了完了，卡巴为追求流畅不脱壳了

温馨小屋

台风12 发表于 2019-8-22 13:49
完了完了，卡巴为追求流畅不脱壳了

壳还是会脱得，但是脱壳能力确实显著缩水。。。

台风12

温馨小屋 发表于 2019-8-22 14:19
壳还是会脱得，但是脱壳能力确实显著缩水。。。

吓得俺调到最高级别防护了，卡就卡一点吧

huang1111

hello

根据技术支持提供的信息如下：
VHO – VHS (VisHash) Offline，VHO是基于恶意PE文件分析过程中形成的一组特征。这些记录用于检测其他具有匹配特征的文件。这个特征是储存在云端，并且会与云端比较同一类型的恶意文件

我想应该是卡巴斯基想要削减数据库大小
VHO=一类文件

以及你之前所说的UPX处理过后的文件，卡巴识别以后，但是源文件不被识别问题，我认为应该是卡巴的简单入库。。。应该样本的危害性并不大

@台风12 开启高级别的防护，不一定会提高查杀率，反而可能会导致查杀率下降，样本区比比皆是

温馨小屋

huang1111 发表于 2019-8-22 15:50
hello

根据技术支持提供的信息如下：

搞不好要走诺顿的思路搞云库了。。。


那个样本当时测的时候是有确切名字的，到现在测只有通用启发报法了，可能定义被合并了吧。我感觉卡巴的本地定义里不是所有定义都能脱壳的，我记得之前我碰到一大堆加壳就miss的本地特征，但是蚊子说了之后我处理了好几个样本都能脱壳了。。。

huang1111

温馨小屋 发表于 2019-8-22 15:55
搞不好要走诺顿的思路搞云库了。。。

hello

搞云库为了自身的轻便，实际上如果本地能力不砍的话，一切都可以接受
脱壳的话UPX之类肯定可以脱。。。我之前也不知道你怎么得出UPX没办法脱的。。。况且UPX还是一个开源项目

温馨小屋

huang1111 发表于 2019-8-22 16:13
hello

搞云库为了自身的轻便，实际上如果本地能力不砍的话，一切都可以接受

其实不是UPX没法脱，而是脱了之后有些扫描方式是不触发的，如果脱壳之后在去考虑UDS或者重新跑启发可能导致性能问题。

扫描要过很容易，就连ESET要免杀也跑不掉，主要是主防别再漏勒索了，要是像BD那样有强悍的主防基本就没什么人提扫描了

huang1111

温馨小屋 发表于 2019-8-22 16:44
其实不是UPX没法脱，而是脱了之后有些扫描方式是不触发的，如果脱壳之后在去考虑UDS或者重新跑启发可能导 ...

hello

卡巴的主防应该不比其他杀软差很多，漏勒索这个问题已经交给DEV分析，我们做的只能是等待
脱壳以后应该还是要和云端先比较特征，再开始跑启发，性能问题应该是出现在脱壳环节，而不是跑启发环节

浅暮、浅离

huang1111 发表于 2019-8-22 15:50
hello

根据技术支持提供的信息如下：

开启高级别的防护，不一定会提高查杀率，反而可能会导致查杀率下降，

这个是bug吗？？？

台风12

huang1111 发表于 2019-8-22 15:50
hello

根据技术支持提供的信息如下：

好吧，这么多高人，想做个小白也不容易