白加黑超级远控木马

温馨小屋

浅暮、浅离 发表于 2020-1-29 22:08
也是，忘了这是个远控木马，断网肯定对样本不公平了。。。

今天重测了一下卡巴，卡巴到现在为止此样本仍处于UDS拉黑状态，没有本地特征入库，众所周知UDS特征强度极其的弱，说白了就是哈希拉黑，改一下MD5就免杀了。
@Black_lonely


首先改那个黑DLL的MD5，改完之后监控miss（毒库已更新最新），双击，卡巴无反应，和病毒进程愉快的共存和很久




这玩意还是双进程木马，结束一个另一个自动恢复这个进程，任务管理器干不掉，文件一直被占用也删不了，还得让我祭出PCH强制结束进程并删除文件




改完MD5的文件被实机的BD杀了，虽然BD的KD系列特征强度也堪忧，但是改哈希和常见壳这种基本混淆还是没啥压力的，卡巴就算是本地特征也经常出现不脱壳的情况，估计是出于性能考虑



ok了吗，别再吹卡巴了，miss就是miss了，别拿病毒库检测过来说能杀，事后诸葛亮谁不会啊，金山还知道蹲点拉黑呢，如果在没入库的情况下卡巴的用户肯定是会中这个毒的，这次卡巴的云的反应时间也不理想，拼的就是主防实力 @众生悟道  

众生悟道

温馨小屋 发表于 2020-1-31 19:48
今天重测了一下卡巴，卡巴到现在为止此样本仍处于UDS拉黑状态，没有本地特征入库，众所周知UDS特征强度极 ...

自从前两天测试比特梵德企业版翻车，最近测试卡巴又连着两次翻车，我已经对这个两个吹得满天飞的大杀器失望透了，现在才发现，样本区域顶端鲜红色的警告语真的真的是真理啊，哈哈……：“安全警告：本区的附件都有可能具有威胁您的计算机安全的可能，并且没有任何安全软件能够100%保证防护住这些样本，请勿实机测试这些样本哦~”

温馨小屋

众生悟道 发表于 2020-1-31 20:00
自从前两天测试比特梵德企业版翻车，最近测试卡巴又连着两次翻车，我已经对这个两个吹得满天飞的大杀器失 ...

任何杀软被针对都会翻车，没办法的事，我之前在样本区测了几个月的卡巴bd，每周都会有一两个漏的，SW和ATD都有自己的弱点，只能说看自己需求用了，在不大影响性能的前提下挑一个就够了

不过几年前AVC和ATC的时候真的是牛逼，都没见几个漏的，看见漏的都得惊讶一下，但是近几年不太行了，可能是为了压误报

sanhu35

左手 发表于 2020-1-29 14:40
再测一次。
这次让他联网。
好像是在PD下创建一个名字为随机的文件夹。

在我的半沙盘规则中，不可能被关

asdx145266

才出来的时候微点扫描miss，双击微点防火墙拦截了，然后选择放行，过一段时间报未知木马，清除了，这次微点不错

asdx145266

a445441 发表于 2020-1-26 20:02
微点MISS

微点好像能防御，报未知木马

a445441

asdx145266 发表于 2020-2-1 16:47
微点好像能防御，报未知木马

微点还是不能有效拦截白加黑

asdx145266

a445441 发表于 2020-2-1 20:29
微点还是不能有效拦截白加黑

有进步就行了，看的到进步

，就一个.

众生悟道 发表于 2020-1-31 20:00
自从前两天测试比特梵德企业版翻车，最近测试卡巴又连着两次翻车，我已经对这个两个吹得满天飞的大杀器失 ...

别说什么SW ，就连我用ESET HIPS 手动挡双击都翻过车，而且是HIPS无任何提提的情况被过，世事无绝对，别主动去玩毒，360够了

lifan88

，就一个. 发表于 2020-2-3 00:24
别说什么SW ，就连我用ESET HIPS 手动挡双击都翻过车，而且是HIPS无任何提提的情况被过，世事无绝对，别 ...

主动玩毒推荐虚拟机，不然被窃密都乐呵呵的，还有，别在公司里玩毒，小心被人顺网线把你干开除了。。。