卡巴扫描不报毒，双击打开后，卡巴就一直提示回滚

记录微笑

温馨小屋 发表于 2020-2-28 21:43
跟BD的KD系列和云杀有一拼嘛，我觉得最牛逼的报毒名是avast，连乱码都省了

BD本地特征好歹还有点辨识度，咖啡所有报毒名都是这样组成的。
除了RDN报法，和avast差不多，都是RDN/Generic

温馨小屋

记录微笑 发表于 2020-2-28 21:45
BD本地特征好歹还有点辨识度，咖啡所有报毒名都是这样组成的。
除了RDN报法，和avast差不多，都是RDN/Ge ...

这怎么都不学好啊，一开始卡巴的UDS也都长得一样，现在UDS也开始分类了。诺顿也是报毒名乱七八糟，看到的大概率是MBT，Gen.2这些奇怪的东西，现在应该是一水的AdvML了，像智量一样

记录微笑

温馨小屋 发表于 2020-2-28 21:53
这怎么都不学好啊，一开始卡巴的UDS也都长得一样，现在UDS也开始分类了。诺顿也是报毒名乱七八糟，看到的 ...

听说报毒名辨识度越低，免杀难度就越大。

因为无法确定命中了哪些规则

Miostartos

温馨小屋 发表于 2020-2-28 21:53
这怎么都不学好啊，一开始卡巴的UDS也都长得一样，现在UDS也开始分类了。诺顿也是报毒名乱七八糟，看到的 ...

诺顿advml和入库还是分开的。
只不过advml优先触发，有时候你去日志就能看见外面报adv日志里面advml后面还跟着入库。
毕竟advml只是机学，原来的库还在。
诺顿还算好认了，凡是非advml和Bloodhound的都是入库。

QVM360

水一贴：
ESET MISS
信誉和用户数未知，待会双击@QVM360

温馨小屋

记录微笑 发表于 2020-2-28 21:55
听说报毒名辨识度越低，免杀难度就越大。

因为无法确定命中了哪些规则

不过通过分析工具就算QVM那种乱码报法也能找到杀在哪个位置了，对于免杀难度应该不是问题，最主要的还是看特征强度。


卡巴的报毒名完美的暴露了病毒库体系，UDS-普通特征-VHO-HEUR入库，不过卡巴还是最难免杀的杀软之一，HEUR特征太强了

QVM360

温馨小屋 发表于 2020-2-28 21:58
不过通过分析工具就算QVM那种乱码报法也能找到杀在哪个位置了，对于免杀难度应该不是问题，最主要的还是 ...

ESET呢防不防免杀

记录微笑

温馨小屋 发表于 2020-2-28 21:58
不过通过分析工具就算QVM那种乱码报法也能找到杀在哪个位置了，对于免杀难度应该不是问题，最主要的还是 ...

但是我写的易语言程序一大半加了VMP就免了

卡巴当年时间bug没修的时候还拿那这个bug玩了卡巴一次

温馨小屋

Miostartos 发表于 2020-2-28 21:56
诺顿advml和入库还是分开的。
只不过advml优先触发，有时候你去日志就能看见外面报adv日志里面advml后面 ...

确实，一般都是advml先杀，然后查云出报法，这样可以弥补一些云延迟的问题，不过库里MBT和Gen.2这样的东西还是不少的，不过诺顿的已分类比例肯定是要比BD高的

温馨小屋

记录微笑 发表于 2020-2-28 22:00
但是我写的易语言程序一大半加了VMP就免了

卡巴当年时间bug没修的时候还拿那这个bug玩了卡巴一 ...

前些天好多样本区HEUR报法的加vmp都能杀掉而且报法不变，现在碰到HEUR我就不双击了，在我能力范围之内免杀成功率不高，之前还搞过源码级免杀，能免掉普通特征，怎么也免不了HEUR