收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 雷鸟下载
1 ...101112131415161718下一页
返回列表 发新帖
楼主: Sept.
 收起左侧

[可疑文件] 雷鸟下载

  [复制链接]
Kalium
发表于 2020-10-8 22:31:13 | 显示全部楼层
swizzer 发表于 2020-10-8 22:22
那么官人,这是不是说目前还没有明确的证据证明该软件是恶意的,对吗?

另外,能否透露下您们从 ...

https://bbs.kafan.cn/forum.php?m ... 49&pid=47360742
https://bbs.kafan.cn/forum.php?m ... 49&pid=47365614
乃不是说报的不是注入吗
回复

举报

swizzer
发表于 2020-10-8 22:32:58 | 显示全部楼层
Kalium 发表于 2020-10-8 22:31
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2192149&pid=47360742
https://bbs.k ...

智量官方入库的原因是注入。我这里主防确实没有报注入,但这个MalDllLoading报法本身并不可靠,因为有些比较可疑的dll加载方式也会被用于正常软件。
回复

举报

智量官方
发表于 2020-10-8 22:43:04 | 显示全部楼层
swizzer 发表于 2020-10-8 22:22
那么官人,这是不是说目前还没有明确的证据证明该软件是恶意的,对吗?

另外,能否透露下您们从 ...

我随便举个例子你就知道安全厂商面临的困境了,

假设有一段伪代码,

SetWindowsHookEx(.....)
InternetConnect(....)

意思是安装键盘钩子,再连接网络. 它既有可能通过网络传输获取的键盘纪录, 也有可能只是简单的升级。
也就是说这种高危行为既可能是正常的,也可能是窃取键盘纪录的木马。

解决方式有两个:
1 是弹框让用户判断是否允许,这要求用户具备必须的安全知识同时有甩锅到用户端之嫌.
2. 另外一种需要安全厂商判断是否封堵. 大的厂商可能会有文件使用人数为基础的信誉判断,其实也不太靠谱, 使用人数多并不一定安全.
最终都还是需要人力判断. 现实是未知文件的数量会远远超出人力覆盖范围。所以一般选择先封堵再分析,避免用户端的财产损失.

评分

参与人数 1人气 +3 收起 理由
swizzer + 3

查看全部评分

回复

举报

智量官方
发表于 2020-10-8 22:49:33 | 显示全部楼层
本帖最后由 智量官方 于 2020-10-8 22:54 编辑
vm001 发表于 2020-10-8 22:25
这一点比较赞同,然而你们的做法是在没有任何证据证明程序具备恶意行为的情况下,直接判断为恶意,而前几 ...

你可能对于杀软过于理想化了, 其实好多判定是自动化的. 比如很多杀软的云杀,就是根据高危行为直接判定. 其实也很少有人追究UDS:Dangerous或者HEUR/APC之类的为什么要报。主要是那些厂商不来卡饭
回复

举报

huang1111
发表于 2020-10-8 23:04:50 | 显示全部楼层
智量官方 发表于 2020-10-8 22:49
你可能对于杀软过于理想化了, 其实好多判定是自动化的. 比如很多杀软的云杀,就是根据高危行为直接判定.  ...

hello

首先纠正一点,你举出的例子是卡巴斯基的报毒方法,那么解释一下
UDS仅仅是紧急拉黑的报法,复写数据库之后就会出现详细的毒名,有详细的族等,你看到的一些名字只是临时性报法
此外,你可以看一下危险情报门户,那里会举出卡巴斯基报毒的原因
并不是笼统的名称
回复

举报

swizzer
发表于 2020-10-8 23:06:16 | 显示全部楼层
huang1111 发表于 2020-10-8 23:04
hello

首先纠正一点,你举出的例子是卡巴斯基的报毒方法,那么解释一下

不过前几天我就见到卡巴拉黑错误了我去找找
-------------
Here~

https://bbs.kafan.cn/forum.php?m ... 192004&pid=47346758

回复

举报

huang1111
发表于 2020-10-8 23:14:14 | 显示全部楼层
swizzer 发表于 2020-10-8 23:06
不过前几天我就见到卡巴拉黑错误了我去找找
-------------
Here~

过一段时间覆写数据库以后就有名字了,这只是一个临时的名字,猴急的话,可以去情报门户网站
回复

举报

computero
头像被屏蔽
发表于 2020-10-8 23:18:31 | 显示全部楼层
huang1111 发表于 2020-10-8 23:14
过一段时间覆写数据库以后就有名字了,这只是一个临时的名字,猴急的话,可以去情报门户网站

卡巴现在用不了啊,报毒弹窗越来越慢,有时候甚至怀疑文件监控有没有在运作
回复

举报

swizzer
发表于 2020-10-8 23:22:53 | 显示全部楼层
huang1111 发表于 2020-10-8 23:14
过一段时间覆写数据库以后就有名字了,这只是一个临时的名字,猴急的话,可以去情报门户网站

你可以认为智量也犯了这个帖子中卡巴的错误,但目前尚未纠正,也不承认

看到时候的分析结果吧,目前我们都只是怀疑而已
回复

举报

vm001
发表于 2020-10-8 23:25:16 | 显示全部楼层
智量官方 发表于 2020-10-8 22:49
你可能对于杀软过于理想化了, 其实好多判定是自动化的. 比如很多杀软的云杀,就是根据高危行为直接判定.  ...

..这个你判断错了,我这个人对杀软可并不理想化,对于此贴反复回复其实也就仅仅对于这程序和你们智量的判断好奇而已..我这个人只是就是论事,就拿智量对这个程序的判断结果也并不代表智量就是胡乱的杀,还是那句话只是觉着通过注入来断定恶意有点武断而已,这个你们应该是可以在逻辑上改进的。至于云杀咱也就不必要点的太漏了。
回复

举报

下一页 »
1 ...101112131415161718下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-24 07:32 , Processed in 0.103828 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表