试试这个virus

evans168

zghnsy127 发表于 2019-9-6 08:35
又见完美组合。。有幸见到。。真乃神器也

所以我才會說免費的 FSP or WD + SecureAPlus 是不錯的組合!!

www-tekeze

桑德尔 发表于 2019-9-6 08:58
深度行为防护只能针对显著且已知的流行家族样本的行为，随便来个离散型样本，撒开花加密都没关系

之前B大也多次解释过了，对离散样本没疗效。。。深度行为检测算12大版最大的亮点吧，但E家本来主打的就是动启，提取的是行为特征码 (E家称DNA码)，家族性的变种检测本来就是强项啊。
重点宣传似乎没必要，让很多人误以为是行为主防呢，也不知13大版的机学会怎么样。。

桑德尔

www-tekeze 发表于 2019-9-6 09:54
之前B大也多次解释过了，对离散样本没疗效。。。深度行为检测算12大版最大的亮点吧，但E家本来主打的就是 ...

按照ESET一贯的作风，不要对它能对离散型威胁有多大效果抱有过高的期待

www-tekeze

桑德尔 发表于 2019-9-6 10:00
按照ESET一贯的作风，不要对它能对离散型威胁有多大效果抱有过高的期待

明白。。。ESET是家很严谨的厂商 (也是火绒官人心目中的偶像)，机学是不可能随便推向终端的，误报是不能触碰的红线哦。。

小岛花六

下载了两次，解压错误

www-tekeze

小岛花六 发表于 2019-9-6 10:53
下载了两次，解压错误

亲，解压密码：infected，运行密码：virus 。。。友情提醒：没把握别双击。。

小岛花六

chmod777

刚知道还有运行密码。。。我用OD直接把校验密码的那个判断给改了，然后在当前目录下生成一个文件，_mail****.exe，直接把我虚拟机的exe文件、txt文件都删了，然后建立一个文件夹，文件夹名字是勒索的信息，要求联系***@yahoo.com的解密。

fuhappyness

又是易语言哎.....是个勒索么？

基本信息
文件名称：        

Email_Tools_1.0.exe
MD5：         15426c7ef693c662375ef748e72079f7
文件类型：         EXE
上传时间：         2019-09-06 19:18:03
出品公司：         N/A
版本：         2.0.0.5---2.0.0.5
壳或编译器信息：         COMPILER:Microsoft Visual C++ 6.0 [Overlay]
关键行为
行为描述：         直接获取CPU时钟
详情信息：        

EAX = 0x93fe0e15, EDX = 0x000000b4

EAX = 0x93fe0e61, EDX = 0x000000b4

EAX = 0x93fe0ead, EDX = 0x000000b4

EAX = 0x93fe0ef9, EDX = 0x000000b4

EAX = 0x93fe0f45, EDX = 0x000000b4

EAX = 0x93fe0f91, EDX = 0x000000b4

EAX = 0x93fe0fdd, EDX = 0x000000b4

EAX = 0x93fe1029, EDX = 0x000000b4

EAX = 0x93fe1075, EDX = 0x000000b4

EAX = 0x93fe10c1, EDX = 0x000000b4
行为描述：         获取TickCount值
详情信息：        

TickCount = 241910, SleepMilliseconds = 20.

TickCount = 241941, SleepMilliseconds = 20.
文件行为
行为描述：         查找文件
详情信息：        

FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\996E.zh-CN

FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\996E.zh-Hans

FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\996E.zh

FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\996E.CHS

FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\996E.CH
其他行为
行为描述：         创建互斥体
详情信息：        

CTF.LBES.MutexDefaultS-*

CTF.Compart.MutexDefaultS-*

CTF.Asm.MutexDefaultS-*

CTF.Layouts.MutexDefaultS-*

CTF.TMD.MutexDefaultS-*

CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*

MSCTF.Shared.MUTEX.IOH

MSCTF.Shared.MUTEX.MJJ
行为描述：         创建事件对象
详情信息：        

EventName = Global\CnDebugFlushEvent

EventName = MSCTF.SendReceive.Event.MJJ.IC

EventName = MSCTF.SendReceiveConection.Event.MJJ.IC
行为描述：         打开互斥体
详情信息：        

ShimCacheMutex
行为描述：         查找指定窗口
详情信息：        

NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]

NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述：         窗口信息
详情信息：        

Pid = 2456, Hwnd=0x10348, Text = Cancel, ClassName = TButton.

Pid = 2456, Hwnd=0x10346, Text = OK, ClassName = TButton.

Pid = 2456, Hwnd=0x10342, Text = Exe Lock, ClassName = TFormPassDialog.
行为描述：         获取TickCount值
详情信息：        

TickCount = 241910, SleepMilliseconds = 20.

TickCount = 241941, SleepMilliseconds = 20.
行为描述：         打开事件
详情信息：        

HookSwitchHookEnabledEvent

CTF.ThreadMIConnectionEvent.000007E8.00000000.00000010

CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010

MSCTF.SendReceiveConection.Event.IOH.IC

MSCTF.SendReceive.Event.IOH.IC
行为描述：         枚举窗口
详情信息：        

N/A
行为描述：         调用Sleep函数
详情信息：        

[1]: MilliSeconds = 20.
行为描述：         隐藏指定窗口
详情信息：        

[Window,Class] = [Exe Lock,TFormPassDialog]
行为描述：         直接获取CPU时钟
详情信息：        

EAX = 0x93fe0e15, EDX = 0x000000b4

EAX = 0x93fe0e61, EDX = 0x000000b4

EAX = 0x93fe0ead, EDX = 0x000000b4

EAX = 0x93fe0ef9, EDX = 0x000000b4

EAX = 0x93fe0f45, EDX = 0x000000b4

EAX = 0x93fe0f91, EDX = 0x000000b4

EAX = 0x93fe0fdd, EDX = 0x000000b4

EAX = 0x93fe1029, EDX = 0x000000b4

EAX = 0x93fe1075, EDX = 0x000000b4

EAX = 0x93fe10c1, EDX = 0x000000b4
进程树

munsimli

wd解壓後實時監控殺