火绒纯主防测试

396805331

wwwab 发表于 2021-2-20 16:44
1.你可以参考下金山毒霸的分析报告，他们是说有毒，相比个人来说，他们确实更专业一些啊。而且云沙箱本来 ...

3.楼主测试的时候，文件就是重命名状态，所以也建立不起来依赖，云沙箱的行为和他机器上的行为应该是一致的。跟你样本有没有毒有啥关系？

4.毒霸出的报告能代表在楼主测试环境下的行为吗？刚才是谁言之凿凿地说“还有一些文件是要和别的一些文件搭配运行的，需要有特定的环境”？？？

至于为啥可能没有行为，依赖的问题，这个楼里没人比你更懂吧？

没人说你的样本有问题，没人说你你重命名不对。

问题是在于楼主测试，恶意行为有没有执行，没有执行，他测什么呢？
前面也说了，当文件不存在依赖时，楼主测试执行的行为，和云沙箱应该是一致的，为啥你在一遍遍证明自己的样本没问题？

396805331

wwwab 发表于 2021-2-20 16:54
1.你可以分析的啊，但是文件名我也不知道，如果分析遇到障碍或者“误判”，别来找我。反正我没文件名具体 ...

下面这个“无毒”结论，你是从我哪句话里面理解到的，让你误解了。我现在去改一改？

这句是提问，请直接引用我让你误解那句话谢谢。

我到底什么时候说的你的样本是“无毒”的？


-----------------------------------------------------------------

另外，本来是讨论楼主测试方法问题，你作为一个样本提供者，跳出来插一脚。

然后在一遍遍解释自己没错。不知道你在干嘛？

wwwab

396805331 发表于 2021-2-20 17:03
3.楼主测试的时候，文件就是重命名状态，所以也建立不起来依赖，云沙箱的行为和他机器上的行为应该是一致 ...

1.我23楼说过楼主的测试确实有一点儿缺陷，我并没有说过多少程度上对这篇测试的准确性完全肯定的话啊，所以你问我这3和4问题，想干啥
2.还不是因为你的歧义句，我想停你后面就又回复上来了，那你让我怎么停
3.直接引用那个，我下次注意下吧，复制一遍感觉没意思，我觉得你应该能一下子看懂的吧

wwwab

396805331 发表于 2021-2-20 17:04
这句是提问，请直接引用我让你误解那句话谢谢。

我到底什么时候说的你的样本是“无毒”的？

哦，没看到你这是在提问，那我说下哈

1. 接近半数是没有高危行为的。
   
2. 
   
3. 部分所谓的高危行为也只有安装消息钩子。
   

复制代码

什么没有高危行为，那是没有明显的高危行为，运行不起来你没发现而已。

1. 更何况你这9个样本，有明显恶意行为的恐怕只有一个：
   
2. 
   
3. ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd
   
4. 
   
5. 其他的安装消息钩子，反沙箱检测，算不上什么直接的恶意行为吧？
   

复制代码

这句话下次最好注意一下，如果你是要表达样本基本上都没有直接的恶意行为，而且一共也就九个样本，那意义何在？你细品一下。
而且，如果有小白不仔细，可能会被看成：这个里面只有一个有毒，其他都没毒……

396805331

wwwab 发表于 2021-2-20 17:10
1.我23楼说过楼主的测试确实有一点儿缺陷，我并没有说过多少程度上对这篇测试的准确性完全肯定的话啊，所 ...

1.是你自己跳出来，非得解释你的样本没问题的对吧？（还要我再引用一遍？）
1)我说过你的样本无毒的？

但是评论区也别乱去质疑我的样本包，谢谢。

那么微步云沙箱肯定给出的是“正常”。那么仅仅只有这个只有参考价值意义且并不准确“评级”，你是如何单单凭借这个就知道这些样本都无毒的？@396805331 你说ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd这个文件是毒，其他都不是毒，那我明确告诉你了

2)云沙箱没行为 ≠ 没有恶意行为，说是依赖的问题，然后被我反锤。

但是也不要像@396805331 一样，认为云沙箱没跑出来恶意行为就代表这个样本没有恶意行为，那是错误的，有恶意行为没有施展出来并不完全等同于没有恶意行为啊。

2.直接引用我回复中歧义句，谢谢

wwwab

396805331 发表于 2021-2-20 17:20
1.是你自己跳出来，非得解释你的样本没问题的对吧？（还要我再引用一遍？）
1)我说过你的样本无毒的？
...

1.是的，谁叫你的语句有一些小毛病呢，上面34楼引用过解释给你听了，都引用过说过了，还要再引用啥
2.什么反锤，确实是依赖关系，只是文件名不对运行不起来，让你看分析报告了。基本上很多都是衍生物的关系，下载或者生成的。不信你去看

396805331

wwwab 发表于 2021-2-20 17:20
哦，没看到你这是在提问，那我说下哈什么没有高危行为，那是没有明显的高危行为，运行不起来你没发现而已 ...

什么没有高危行为，那是没有明显的高危行为，运行不起来你没发现而已。

讨论的是楼主的测试，云沙箱和楼主环境中理论直接结果是一致的，这么说有什么问题？

非要这么说的话，你下回发样本麻烦带上文件间的依赖关系、触发条件，请全面一点，毕竟当年ntsd适当利用其乐无穷。

另外，这句话说你的样本"无毒"了吗？

这句话下次最好注意一下，如果你是要表达样本基本上都没有直接的恶意行为，而且一共也就九个样本，那意义何在？你细品一下。

单一个消息钩子或者反沙箱检测的行为，正常软件也有，纯HIPS单步处理时很少有拦截的，这是客观事实。

是这句话，让你这个非小白的大佬认为，我说你的样本"无毒"了吗？

合着在这讨论，得处处照顾您这个大佬，不能说样本的任何问题，以免伤了样本来源的面子是吗？

另外呀，请教下大佬，这句话怎么表达合适。您看这样行吗？最好您能给个示范

    更何况你这9个样本，有明显恶意行为的恐怕只有一个（没有恶意行为并不代表没有毒）：

    ed51269c3602786ff6ddef3a808d8178d26e4e5960f4ac7af765e4bd642128dd

    其他的安装消息钩子，反沙箱检测，算不上什么直接的恶意行为（没有恶意行为并不代表没有毒）吧？

396805331

wwwab 发表于 2021-2-20 17:23
1.是的，谁叫你的语句有一些小毛病呢，上面34楼引用过解释给你听了，都引用过说过了，还要再引用啥
2.什 ...

而且，如果有小白不仔细，可能会被看成：这个里面只有一个有毒，其他都没毒……

1.哦，是吗。听你刚才说，我以为只有小白会理解错呢。没想到大佬也会犯这种错误。

2.什么反锤，确实是依赖关系，只是文件名不对运行不起来，让你看分析报告了。基本上很多都是衍生物的关系，下载或者生成的。不信你去看

2可怜，还在解释自己的样本没问题。这个逻辑说了多遍了吧？
你自己跳出来，用依赖关系的问题说我云沙箱的报告不对。
可测试机也没有依赖关系。

所以楼主的测试环境刚好和云沙箱的报告应该是可以对应呀？
我前面这么讨论楼主测试的问题，一点问题没有。

自己出来挨打，错误一堆没有回应。
要是我就不好意思说别人有小毛病。

是的，谁叫你的语句有一些小毛病呢

wwwab

行了行了，你也够了，别引战了@396805331 不说了

396805331

wwwab 发表于 2021-2-20 18:08
行了行了，你也够了，别引战了@396805331 不说了

最先at我的是你吧？

跳出来的说我评论你的样本的是你吧？

没搞清楚在讨论什么问题的是你吧？

说了几百遍，我从来没说过你的样本有问题，要看测试环境的行为，还在让我看毒霸报告的是你吧？

自己说小白可能会理解错的是你自己吧？

给我安了个莫须有的帽子，然后道歉也没有，最后让我别引战？在搞笑吗？