搜索
楼主: 空伐Void
收起左侧

[分享] 火绒纯主防测试

[复制链接]
396805331
发表于 2021-2-20 17:03:48 | 显示全部楼层
wwwab 发表于 2021-2-20 16:44
1.你可以参考下金山毒霸的分析报告,他们是说有毒,相比个人来说,他们确实更专业一些啊。而且云沙箱本来 ...

3.楼主测试的时候,文件就是重命名状态,所以也建立不起来依赖,云沙箱的行为和他机器上的行为应该是一致的。跟你样本有没有毒有啥关系?

4.毒霸出的报告能代表在楼主测试环境下的行为吗?刚才是谁言之凿凿地说“还有一些文件是要和别的一些文件搭配运行的,需要有特定的环境”???

至于为啥可能没有行为,依赖的问题,这个楼里没人比你更懂吧?

没人说你的样本有问题,没人说你你重命名不对。

问题是在于楼主测试,恶意行为有没有执行,没有执行,他测什么呢?
前面也说了,当文件不存在依赖时,楼主测试执行的行为,和云沙箱应该是一致的,为啥你在一遍遍证明自己的样本没问题?

396805331
发表于 2021-2-20 17:04:54 | 显示全部楼层
本帖最后由 396805331 于 2021-2-20 17:08 编辑
wwwab 发表于 2021-2-20 16:54
1.你可以分析的啊,但是文件名我也不知道,如果分析遇到障碍或者“误判”,别来找我。反正我没文件名具体 ...
下面这个“无毒”结论,你是从我哪句话里面理解到的,让你误解了。我现在去改一改?

这句是提问,请直接引用我让你误解那句话谢谢。

我到底什么时候说的你的样本是“无毒”的?


-----------------------------------------------------------------

另外,本来是讨论楼主测试方法问题,你作为一个样本提供者,跳出来插一脚。

然后在一遍遍解释自己没错。不知道你在干嘛?



wwwab
发表于 2021-2-20 17:10:20 | 显示全部楼层
396805331 发表于 2021-2-20 17:03
3.楼主测试的时候,文件就是重命名状态,所以也建立不起来依赖,云沙箱的行为和他机器上的行为应该是一致 ...

1.我23楼说过楼主的测试确实有一点儿缺陷,我并没有说过多少程度上对这篇测试的准确性完全肯定的话啊,所以你问我这3和4问题,想干啥
2.还不是因为你的歧义句,我想停你后面就又回复上来了,那你让我怎么停
3.直接引用那个,我下次注意下吧,复制一遍感觉没意思,我觉得你应该能一下子看懂的吧
wwwab
发表于 2021-2-20 17:20:31 | 显示全部楼层
396805331 发表于 2021-2-20 17:04
这句是提问,请直接引用我让你误解那句话谢谢。

我到底什么时候说的你的样本是“无毒”的?

哦,没看到你这是在提问,那我说下哈
  1. 接近半数是没有高危行为的。

  2. 部分所谓的高危行为也只有安装消息钩子。
复制代码
什么没有高危行为,那是没有明显的高危行为,运行不起来你没发现而已。
  1. 更何况你这9个样本,有明显恶意行为的恐怕只有一个:

  2. ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd

  3. 其他的安装消息钩子,反沙箱检测,算不上什么直接的恶意行为吧?
复制代码
这句话下次最好注意一下,如果你是要表达样本基本上都没有直接的恶意行为,而且一共也就九个样本,那意义何在?你细品一下。
而且,如果有小白不仔细,可能会被看成:这个里面只有一个有毒,其他都没毒……
396805331
发表于 2021-2-20 17:20:56 | 显示全部楼层
wwwab 发表于 2021-2-20 17:10
1.我23楼说过楼主的测试确实有一点儿缺陷,我并没有说过多少程度上对这篇测试的准确性完全肯定的话啊,所 ...

1.是你自己跳出来,非得解释你的样本没问题的对吧?(还要我再引用一遍?)
1)我说过你的样本无毒的?
但是评论区也别乱去质疑我的样本包,谢谢。
那么微步云沙箱肯定给出的是“正常”。那么仅仅只有这个只有参考价值意义且并不准确“评级”,你是如何单单凭借这个就知道这些样本都无毒的?@396805331 你说ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd这个文件是毒,其他都不是毒,那我明确告诉你了


2)云沙箱没行为 ≠ 没有恶意行为,说是依赖的问题,然后被我反锤。
但是也不要像@396805331 一样,认为云沙箱没跑出来恶意行为就代表这个样本没有恶意行为,那是错误的,有恶意行为没有施展出来并不完全等同于没有恶意行为啊。


2.直接引用我回复中歧义句,谢谢


wwwab
发表于 2021-2-20 17:23:16 | 显示全部楼层
本帖最后由 wwwab 于 2021-2-20 17:26 编辑
396805331 发表于 2021-2-20 17:20
1.是你自己跳出来,非得解释你的样本没问题的对吧?(还要我再引用一遍?)
1)我说过你的样本无毒的?
...

1.是的,谁叫你的语句有一些小毛病呢,上面34楼引用过解释给你听了,都引用过说过了,还要再引用啥
2.什么反锤,确实是依赖关系,只是文件名不对运行不起来,让你看分析报告了。基本上很多都是衍生物的关系,下载或者生成的。不信你去看
396805331
发表于 2021-2-20 17:35:07 | 显示全部楼层
wwwab 发表于 2021-2-20 17:20
哦,没看到你这是在提问,那我说下哈什么没有高危行为,那是没有明显的高危行为,运行不起来你没发现而已 ...
什么没有高危行为,那是没有明显的高危行为,运行不起来你没发现而已。


讨论的是楼主的测试,云沙箱和楼主环境中理论直接结果是一致的,这么说有什么问题?

非要这么说的话,你下回发样本麻烦带上文件间的依赖关系、触发条件,请全面一点,毕竟当年ntsd适当利用其乐无穷。

另外,这句话说你的样本"无毒"了吗?

这句话下次最好注意一下,如果你是要表达样本基本上都没有直接的恶意行为,而且一共也就九个样本,那意义何在?你细品一下。


单一个消息钩子或者反沙箱检测的行为,正常软件也有,纯HIPS单步处理时很少有拦截的,这是客观事实。

是这句话,让你这个非小白的大佬认为,我说你的样本"无毒"了吗?

合着在这讨论,得处处照顾您这个大佬,不能说样本的任何问题,以免伤了样本来源的面子是吗?

另外呀,请教下大佬,这句话怎么表达合适。您看这样行吗?最好您能给个示范

    更何况你这9个样本,有明显恶意行为的恐怕只有一个(没有恶意行为并不代表没有毒):

    ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd

    其他的安装消息钩子,反沙箱检测,算不上什么直接的恶意行为(没有恶意行为并不代表没有毒)吧?


396805331
发表于 2021-2-20 17:41:49 | 显示全部楼层
本帖最后由 396805331 于 2021-2-20 17:43 编辑
wwwab 发表于 2021-2-20 17:23
1.是的,谁叫你的语句有一些小毛病呢,上面34楼引用过解释给你听了,都引用过说过了,还要再引用啥
2.什 ...
而且,如果有小白不仔细,可能会被看成:这个里面只有一个有毒,其他都没毒……

1.哦,是吗。听你刚才说,我以为只有小白会理解错呢。没想到大佬也会犯这种错误。

2.什么反锤,确实是依赖关系,只是文件名不对运行不起来,让你看分析报告了。基本上很多都是衍生物的关系,下载或者生成的。不信你去看

2可怜,还在解释自己的样本没问题。这个逻辑说了多遍了吧?
你自己跳出来,用依赖关系的问题说我云沙箱的报告不对。
可测试机也没有依赖关系。

所以楼主的测试环境刚好和云沙箱的报告应该是可以对应呀?
我前面这么讨论楼主测试的问题,一点问题没有。


自己出来挨打,错误一堆没有回应。
要是我就不好意思说别人有小毛病。
是的,谁叫你的语句有一些小毛病呢

wwwab
发表于 2021-2-20 18:08:43 | 显示全部楼层
行了行了,你也够了,别引战了@396805331 不说了
396805331
发表于 2021-2-20 18:16:32 | 显示全部楼层
本帖最后由 396805331 于 2021-2-20 18:17 编辑
wwwab 发表于 2021-2-20 18:08
行了行了,你也够了,别引战了@396805331 不说了

最先at我的是你吧?

跳出来的说我评论你的样本的是你吧?

没搞清楚在讨论什么问题的是你吧?

说了几百遍,我从来没说过你的样本有问题,要看测试环境的行为,还在让我看毒霸报告的是你吧?

自己说小白可能会理解错的是你自己吧?

给我安了个莫须有的帽子,然后道歉也没有,最后让我别引战?在搞笑吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-4-11 23:03 , Processed in 0.093035 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表