有趣的实验：同一个样本有签名和无签名VT对比

显示全部楼层 · 发表于 2019-11-14 04:37:33

注意：报毒的全部都是误报，这是个白文件

这是测试用的数字签名（由DigiCert旗下的Thawte签发，级别为OV）

无签名：https://www.virustotal.com/gui/file/9df7ac174a1a84bc77996fdaeadae9f9683403be44dfc08f852688144955616a/detection
VT 24个安软报毒

有签名：https://www.virustotal.com/gui/file/ed2cac10201e6a9f3685ac8bfc71abe53b2f9b6c21bcb2ba7a5ee6614892cdc3/detection
VT 8个安软报毒

不评论了就发个结果

显示全部楼层 · 发表于 2019-11-14 05:00:38

以下是更激进的测试
和主楼一样是个调用cmd的程序，但是程序本身不再有任何行为，而改成了释放文件
由于释放的都是白文件，所以依然可以认为这是个白文件

https://www.virustotal.com/gui/file/ecb9ecfc3be7084ab8d65eb4c117ccc9bde87e3b6125c687e891c944525c37c1/detection
无签名 17检（wu）出（bao）

https://www.virustotal.com/gui/file/445630c61514017e467a3f3226d63f4999dbf50420ddf20dd4a1d94081a6e432/detection
有签名 5检（wu）出（bao）

显示全部楼层 · 发表于 2019-11-14 12:14:25

习惯了，很多杀软还专门有针对签名的拉黑，例如avast的dangeroussign

显示全部楼层 · 发表于 2019-11-14 13:40:38

神龟Turmi 发表于 2019-11-14 05:00
以下是更激进的测试
和主楼一样是个调用cmd的程序，但是程序本身不再有任何行为，而改成了释放文件
由于 ...

有签名的增加到6个

显示全部楼层 · 发表于 2019-11-14 17:34:07

为什么我只看到DaWuGui，这是什么意思？

显示全部楼层 · 发表于 2019-11-14 19:39:44

我没看到卡巴斯基杀就是了

显示全部楼层 · 发表于 2019-11-14 20:15:01

ELOHIM 发表于 2019-11-14 17:34
为什么我只看到DaWuGui，这是什么意思？

我的公司英国伦敦DaWuGui Technology Limted
签证书的时候找他们py了下缩短了

显示全部楼层 · 发表于 2019-11-14 20:16:40

桑德尔发表于 2019-11-14 13:40
有签名的增加到6个

典型的蹲点VT 还抄了个误报

显示全部楼层 · 发表于 2019-11-14 20:17:01

神龟Turmi 发表于 2019-11-14 20:15
我的公司英国伦敦DaWuGui Technology Limted
签证书的时候找他们py了下缩短了

龟龟，这波ad我给满分哦。
有没有给客户宣传的web页。。。。

显示全部楼层 · 发表于 2019-11-14 20:35:08

ELOHIM 发表于 2019-11-14 20:17
龟龟，这波ad我给满分哦。
有没有给客户宣传的web页。。。。

这个公司没有什么实际业务。。。

我专门拿来搞EV SSL和OV 代码签名的公司
实际业务的公司在国内

[讨论] 有趣的实验：同一个样本有签名和无签名VT对比