#Loki

显示全部楼层 · 发表于 2020-7-6 21:25:54

本帖最后由 Nocria 于 2020-7-6 21:28 编辑

G DATA (BEAST only)

VIPRE (AAP only)

显示全部楼层 · 发表于 2020-7-6 21:28:23

2020-07-06 21:27:42 恶意软件(QVM03.0.309F.Malware.Gen)MD5:37f98d2b76244766621fae0886a9b0f0 已删除此文件，如果您发现误删，可从隔离区恢复此文件。 c:\360极速浏览器下载\e8c8d336f3a316e249d0c96ded653ea7a197a85044bc277f8624f46cc7812bc4.exe

显示全部楼层 · 发表于 2020-7-6 21:32:30

Norton Heur.AdvML.C

显示全部楼层 · 发表于 2020-7-6 21:36:07

@Nocria 我英文不太好，不知道这报的什么

显示全部楼层 · 发表于 2020-7-6 21:36:38

卡巴

显示全部楼层 · 发表于 2020-7-6 21:44:14

显示全部楼层 · 发表于 2020-7-6 21:47:16

ESET

显示全部楼层 · 发表于 2020-7-6 21:52:04

Avast
Win32:PWSX-gen [Trj]

显示全部楼层 · 发表于 2020-7-6 21:55:56

显示全部楼层 · 发表于 2020-7-6 22:41:09

本帖最后由企稳向好于 2020-7-6 22:44 编辑

BDAF的报法真是越来越有趣了

如图，先报了一个注入（注意这里给出了一个入库名，或许表示这是该家族恶意软件的典型注入行为？）

然后是ATD杀，这里的可疑行为后面跟的那一串应该不是检测类别，而是本地检测时间（X月XX日XX:XX，图中我刚测的样本，对应检测时间是7月6日22点23分)+一串类似哈希的东西。有趣的是有的ATD报法前有“ML：”前缀，有的则没有。我猜现在的ATD应该也是集成了多套检测模型，只有与特定机器学习模型匹配才报出ML前缀。

总的来说，最近测试发现ATD确实有了点新变化，可能集成了新的检测机制。那个注入报法可能代表着ATD不再完全依赖之前那种打分模型，而加入了类似典型恶意软件行为特征的东西，这个感觉倒有点像卡巴BSS的机制。不知道后续检测效果会不会更好一些。

[可疑文件] #Loki

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块