雷鸟下载

swizzer

智量官方 发表于 2020-10-5 22:47
它会启动rundll32.exe但不是每次都会注入的, 你可以用一些监视工具比如API MONITOR查看是否有注入行为发 ...

虽然很不愿意怀疑官方所作判断，但是该程序已经被两大厂商解除了误报···

当然，如果该样本是云控发作就另当别论了。（所以是云控发作吗···）

我也会进一步测试的。感谢官人解答~

智量官方

swizzer 发表于 2020-10-5 22:52
虽然很不愿意怀疑官方所作判断，但是该程序已经被两大厂商解除了误报···

当然，如果该样本 ...

这个软件只是开源了它主程序的代码，它附带的那些DLL每一个都可能有问题，文件多需要逐一分析，但是有恶意注入行为是可以确定的。建议用户不要使用，至于排除误报的那些厂商我们怀疑他们根本没有观察到注入行为.

swizzer

智量官方 发表于 2020-10-5 23:12
这个软件只是开源了它主程序的代码，它附带的那些DLL每一个都可能有问题，文件多需要逐一分析，但是有恶 ...

那么，容我再问官方一个问题——
您们判断注入行为是恶意的，是基于行为本身还是写入的相关内存数据呢？

谢谢！

a27573

智量官方 发表于 2020-10-5 23:12
这个软件只是开源了它主程序的代码，它附带的那些DLL每一个都可能有问题，文件多需要逐一分析，但是有恶 ...

请教一下，一般厂商在遇到需要特定资源文件（dll、配置文件之类的）才能运行的样本时，是怎么处理的呢？这个时候是不是需要我们打包上传呢？
如果涉及到商业机密就算了

tdsskiller

智量官方 发表于 2020-10-5 23:12
这个软件只是开源了它主程序的代码，它附带的那些DLL每一个都可能有问题，文件多需要逐一分析，但是有恶 ...

现在都流行这种白加黑了又坑爹又恶心，没有组件还就和卡巴一样判断不了（因为小白用户只会上传exe）

tdsskiller

a27573 发表于 2020-10-5 23:23
请教一下，一般厂商在遇到需要特定资源文件（dll、配置文件之类的）才能运行的样本时，是怎么处理的呢？ ...

看我的回复

a27573

tdsskiller 发表于 2020-10-5 23:26
看我的回复

就是因为我这里有一些这样的样本，各种方式上报都不入库（包括打包），也没有回音，所以我才想问问

智量官方

swizzer 发表于 2020-10-5 23:18
那么，容我再问官方一个问题——
您们判断注入行为是恶意的，是基于行为本身还是写入的相关内存数 ...

你好，已经私信.

智量官方

a27573 发表于 2020-10-5 23:23
请教一下，一般厂商在遇到需要特定资源文件（dll、配置文件之类的）才能运行的样本时，是怎么处理的呢？ ...

肯定是需要全部上传的，只上传EXE没用

tdsskiller

@智量官方 @a27573
这个可能就像这一类的，就除非小白整个文件夹送检，不然就算是用火绒剑一类的monitor都不好处理和筛，太恶心了
https://www.360.cn/n/11718.html
而且逆向工程量可能非常巨大除非动作非常明显