火绒纯主防测试

暗_黑

技术原创

abcdefghihijk

你是不是把系统加固关了？

wwwab

这是我的样本包，我先声明一下，这些都是真毒。但是有些文件需要特定的运行环境或者和别的一些文件搭配运行，再正常不过了吧？

此外，这些文件都是有过分析报告的，你们难道现在都没发现，文件夹的名称其实是个网址吗？打开那个网址，其实就是金山毒霸对该病毒的分析报告。金山毒霸官网也有超链接可以进去的。

还有一个，有人说有些毒是相同的，或者无行为。实际上如果你看了这两篇分析报告，你会发现这些文件有本体，也有衍生物，还有一些文件是要和别的一些文件搭配运行的，需要有特定的环境。其实两个文件夹，两篇分析报告，实质上也就只有两类毒，但是里面每个文件的分工都是不一样的。

至于有的人可能会说微步云沙箱上面的报毒率有点儿低，那是因为这些样本的多引擎检测的时间已经是n个月以前了，我是照着金山毒霸分析报告里面的哈希值去微步云沙箱一个一个花费积分进行下载的，所以我还是比较清楚的。而且现在这些文件在vt上面的报毒率其实已经不低了，卡巴斯基 kill all，360 kill all，不相信你们可以去vt刷新重新测试下多引擎扫描的报毒率，蹭蹭蹭往上涨，加上有过分析报告，所以肯定是真毒没错。而微步云沙箱所谓的“正常”、“可疑”、“高危”实际上是根据云沙箱跑出来的行为综合多引擎扫描率来定的，而现在多引擎扫描率正如我上面所说，过时了，并不准确，当时的报毒率还特别少，很多杀软都把这几个真毒给miss了，而看行为就知道病毒肯定也还没有发作，那么微步云沙箱肯定给出的是“正常”。那么仅仅只有这个只有参考价值意义且并不准确“评级”，你是如何单单凭借这个就知道这些样本都无毒的？@396805331 你说ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd这个文件是毒，其他都不是毒，那我明确告诉你了，跟ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd这个病毒文件同一个文件夹的，要么就是这个病毒文件的带病毒衍生物，要么就是需要搭配才能运行的病毒文件，也请你正面回答一下，金山毒霸的分析报告你可以自己先去看一下吧，摆在那里不会被删除，更不会去骗人。

不得不说楼主的操作是有点儿缺陷的，但是评论区也别乱去质疑我的样本包，谢谢。

另外建议楼主下次进行测试的时候，最好是去选取和收集病毒样本区里面零零散散的那些样本进行测试，因为样本包里面的样本有运行限制和环境限制也很正常，而零零散散的样本，大部分都没有这两种限制，都是可以直接跑出来恶意行为的，是不是毒大家的反应能力也都是会更快一些的。就比如像@温馨小屋 说的一样，测一些勒索病毒，因为有些样本的恶意行为比较麻烦，就像后门病毒那种一样；但是也不要像@396805331 一样，认为云沙箱没跑出来恶意行为就代表这个样本没有恶意行为，那是错误的，有恶意行为没有施展出来并不完全等同于没有恶意行为啊。而且我这次的样本包有部分都是互相搭配运行的，你单独跑单个的文件运行不了很正常，就像团伙作案一样。那么难道你就认为这个文件恶意行为跑不起来，所以就等于这个文件没有恶意行为了，所以你就可以直接把这个文件给pass掉了吗？

PS.多亏我之前发布的时候灵机一动，特意把文件夹的名称直接改成了分析报告的网址。

761773275

暗_黑 发表于 2021-2-20 09:07
技术原创

哈哈哈哈

温馨小屋

wwwab 发表于 2021-2-20 14:57
这是我的样本包，我先声明一下，这些都是真毒。但是有些文件需要特定的运行环境或者和别的一些文件搭配运行 ...

这种毒，确认恶意行为很麻烦，之前测勒索时无明显行为和漏了的都是要分开计的，不是光看有进程了就觉得运行成功了

小77

学习了

396805331

wwwab 发表于 2021-2-20 14:57
这是我的样本包，我先声明一下，这些都是真毒。但是有些文件需要特定的运行环境或者和别的一些文件搭配运行 ...

还有一个，有人说有些毒是相同的，或者无行为。实际上如果你看了这两篇分析报告，你会发现这些文件有本体，也有衍生物，还有一些文件是要和别的一些文件搭配运行的，需要有特定的环境。其实两个文件夹，两篇分析报告，实质上也就只有两类毒，但是里面每个文件的分工都是不一样的。

而且我这次的样本包有部分都是互相搭配运行的，你单独跑单个的文件运行不了很正常，就像团伙作案一样。那么难道你就认为这个文件恶意行为跑不起来，所以就等于这个文件没有恶意行为了，所以你就可以直接把这个文件给pass掉了吗？

你这里的意思是，每个文件夹下的多个文件有的是本体有的是衍生物，彼此依赖，因此在云沙箱上没有展现出恶意行为吗？

这是讲不通的吧？所有文件都用SHA-256重命名了，请问他们是如何相互依赖的呢？

如果可以找到依赖，那么只可能是枚举当前路径所有文件，再挨个计算哈希值，找到自己依赖的文件，对吗？但是，这几个文件有这样的操作吗？

请先自证，文件夹里面的几个文件可以相互依赖的且和云沙箱中展现出了不同的行为特征。

当然下周我也可以搭一个 cukoo环境，搞一份报告大家一起看一下。

------------------------------------------------------------------

另外，我前面从来没有说你样本包有问题吧？

我从头到尾一直都在强调两件事。

1.如果样本行为是相同/类似的，直接计数是没有意义的。

2.确认样本有恶意行为，再进行统计。

下面这个“无毒”结论，你是从我哪句话里面理解到的，让你误解了。我现在去改一改？

那么仅仅只有这个只有参考价值意义且并不准确“评级”，你是如何单单凭借这个就知道这些样本都无毒的？@396805331 你说ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd这个文件是毒，其他都不是毒，那我明确告诉你了

可怜

wwwab

396805331 发表于 2021-2-20 16:24
你这里的意思是，每个文件夹下的多个文件有的是本体有的是衍生物，彼此依赖，因此在云沙箱上没有展现 ...

1.你可以参考下金山毒霸的分析报告，他们是说有毒，相比个人来说，他们确实更专业一些啊。而且云沙箱本来就是参考价值，文件到底有没有运行起来也是个问题。
2.下次记得说的话最好别带歧义，不然对谁都不好。
3.重命名是我操作的原因，金山毒霸的分析报告中也没有具体说文件名，只是给了哈希值，所以这无法操作。而且我也说过我的样本是从微步云沙箱下载的，文件名默认就是哈希值。如果你要更想了解清楚一点儿的话，你可以去看下金山毒霸的分析报告。
4.金山毒霸已经出过分析报告了，我无需自证，你可以去看下，有问题去问他们（我都说过N遍了）。而且第三点我已经说过了，文件名到底是啥我也不清楚，你也用不着自己去一味地做测试了，我认为如果你仍然还测试就是想故意在损我。

396805331

wwwab 发表于 2021-2-20 16:44
1.你可以参考下金山毒霸的分析报告，他们是说有毒，相比个人来说，他们确实更专业一些啊。而且云沙箱本来 ...

???
如果你不想自证，我来分析有没有依赖和行为差别，帮你一把。

我没看到我说的任何地方有歧义，麻烦你明确指出，我哪里说你样本“无毒”了，不然搞得好像是我诽谤你一样

无论是我还是后面的其他同学，都提到了有的样本，有等待时间/触发条件，导致无行为，并没有说你的样本有问题。麻烦你搞搞清楚。

wwwab

396805331 发表于 2021-2-20 16:50
???
如果你不想自证，我来分析有没有依赖和行为差别，帮你一把。

1.你可以分析的啊，但是文件名我也不知道，如果分析遇到障碍或者“误判”，别来找我。反正我没文件名具体分析不了，不是说我不想自证。而且金山毒霸有过分析报告，我也没必要自找麻烦去，你说是不是？
2.你27楼自己说的你有一句话可能会导致别人误解，这就算歧义了啊

1. 歧义句是在理解上会产生两种或两种以上可能，而且有些词汇容易令人产生误解，但在当时语境中只利用其中一种含义的句子。

复制代码

符合歧义的标准。