查看: 35260|回复: 136
收起左侧

[讨论] 简单测试360全新本地自研引擎:鲲鹏

  [复制链接]
Jerry.Lin
发表于 2020-3-29 09:09:15 | 显示全部楼层 |阅读模式
本帖最后由 Jerry.Lin 于 2020-3-28 19:40 编辑

夭寿啦夭寿啦!靠着云多引擎起家的360研发本地引擎啦!而且还是传统特征引擎!

不得不说360取名部定“鲲鹏”这个名字挺妙呐,透露出一股神秘的东方气息

组件:
360KP.dll
360KPBase.dll
kpb.def   - 病毒库~93MB



大致的报法如下(以下测试均为断网测试):


特征报法(改MD5仍能稳定检出),例如:
Backdoor.Win32.Wabot.A
Trojan.Win32.Cosmu.D
Trojan.Win32.Qukart.A
Worm.Win32.Sfone.A
Virus.Win32.CTS.C
Trojan.Ransom.Win32.Crusis.A
Trojan.Win32.Coins.A

……

疑似拉黑报法(改MD5可能失效),例如:
G_Trojan.VB.00294c62
G_Rootkit.Generic.000f4dcc
G_Trojan.Generic.00234790
G_Trojan.Generic.000f5562

……


测试时使用的样本:https://bbs.kafan.cn/thread-2176074-1-1.html,都是一些老样本,2258x

原样本检出率:
1763/2258
凑合着。新样本测得更惨,大概80个报个位数

改MD5 (简单填0):
1738/2258
还行

改MD5(PE重构+填0):
1738/2258
不变

从中挑了几个样本,加UPX壳(3.95)

原始报法:Trojan.Win32.Coins.A
加壳后:MISS

原始报法:G_Backdoor.Generic.001e8a06
加壳后:MISS

原始报法:Backdoor.Win32.Wabot.A
加壳后:MISS


看到这里,想必大家知道“鲲鹏”是什么东东了 ,若后续没有本质上的提升的话,看看就好……


附:测试日志


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 6人气 +10 收起 理由
沧桑浪子 + 2 版区有你更精彩: )
zpy0206 + 1 版区有你更精彩: )
驭龙 + 3 版区有你更精彩: )
杀软病综合医院 + 1 感谢提供分享
不知妻美刘强东 + 1 希望多努力吧

查看全部评分

驭龙
发表于 2020-3-30 10:08:25 | 显示全部楼层
简单看了一下KPB模块的代码,确实是传统引擎,且与AVE引擎联动,现在可查杀的威胁,分为下面的这些类型
  1. 10086614 0000000C C not-a-virus     
  2. 10086620 0000000C C PUA.Generic     
  3. 1008662C 0000000E C Backdoor.MSIL   
  4. 1008663C 00000009 C Backdoor        
  5. 10086648 00000011 C Backdoor.Generic
  6. 1008665C 00000007 C Packed         
  7. 10086664 0000000F C Packed.Generic  
  8. 10086674 0000000C C Adware.MSIL     
  9. 10086680 00000007 C Adware         
  10. 10086688 0000000F C Adware.Generic  
  11. 10086698 00000005 C Harm            
  12. 100866A0 0000000D C Harm.Generic   
  13. 100866B0 00000008 C Rootkit         
  14. 100866B8 00000010 C Rootkit.Generic
  15. 100866C8 00000007 C AutoIt         
  16. 100866D0 0000000C C Worm.AutoIt     
  17. 100866DC 00000005 C Worm            
  18. 100866E4 0000000D C Worm.Generic   
  19. 100866F8 0000000B C Trojan.BHO      
  20. 10086704 00000006 C .RAR.           
  21. 1008670C 0000000B C Trojan.RAR      
  22. 10086718 00000007 C Script         
  23. 10086720 00000009 C .WinREG.        
  24. 1008672C 00000009 C .WinINF.        
  25. 10086738 00000005 C .JS.            
  26. 10086740 00000006 C .VBS.           
  27. 10086748 00000006 C .BAT.           
  28. 10086750 0000000E C Trojan.Script   
  29. 10086760 00000005 C MSIL            
  30. 10086768 0000000C C Trojan.MSIL     
  31. 10086778 0000000A C Trojan.VB      
  32. 10086784 00000006 C Crypt           
  33. 1008678C 00000007 C Ransom         
  34. 10086794 0000000E C Trojan.Ransom   
  35. 100867A4 00000007 C Trojan         
  36. 100867AC 0000000F C Trojan.Generic  
复制代码

评分

参与人数 7人气 +17 收起 理由
改变自己 + 3 感谢解答: )
星河大帝 + 1 感谢解答: )
莒县小哥 + 3 感谢解答: )
hup + 1 版区有你更精彩: )
PanzerVIIIMaus + 3 感谢解答: )

查看全部评分

乌龟dē海盗
发表于 2020-3-29 09:43:54 | 显示全部楼层
国内版 没有?
Jerry.Lin
 楼主| 发表于 2020-3-29 09:49:45 | 显示全部楼层
本帖最后由 Jerry.Lin 于 2020-3-28 19:55 编辑

国内版貌似没有


能解答下为什么只有TS有么?@360主动防御
2849
发表于 2020-3-29 10:01:56 来自手机 | 显示全部楼层
感觉是把云上的一部分库拉到了本地?
maomao110
发表于 2020-3-29 10:46:14 | 显示全部楼层
2849 发表于 2020-3-29 10:01
感觉是把云上的一部分库拉到了本地?

你别这样   
不知妻美刘强东
头像被屏蔽
发表于 2020-3-29 12:28:08 | 显示全部楼层
这么弱的吗
岚Azure
发表于 2020-3-29 13:44:10 来自手机 | 显示全部楼层
360你别看他几个引擎,实际上合起来就一个:360引擎。国外杀软都合起来算,国内喜欢拆开
利刀1937
发表于 2020-3-29 14:31:01 | 显示全部楼层
360终于开发自己的常规引擎了,有这个开头就可以,以后再不断提高质量
kfne12
头像被屏蔽
发表于 2020-3-29 17:17:29 | 显示全部楼层
经鉴定,360这个引擎达到了火绒20年前的水平。
救命稻草
发表于 2020-3-29 19:45:58 | 显示全部楼层
不知道有什么意义,不打算OEM红伞了吗
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 17:33 , Processed in 0.138154 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表