自制勒索软件 V1.0

显示全部楼层 · 发表于 2021-5-2 00:18:14

00006666 发表于 2021-5-2 00:17
我试过了，联网断网都没检出，可能已经没有本地QVM了。

也许云端的QVM敏感度不一样，本地的QVM或多或少也得砍一刀。

显示全部楼层 · 发表于 2021-5-2 00:21:25

温馨小屋发表于 2021-5-2 00:14
DP都漏了吗，这么惨

DP拦截了部分加密操作，但没触发SONAR，没有终止进程。。。

显示全部楼层 · 发表于 2021-5-2 00:21:41

本帖最后由 Virus4 于 2021-5-1 12:26 编辑

00006666 发表于 2021-5-1 12:15
瑞星真的做出来AI脱壳，还能直接脱VMP的？

我感觉应该没有，技术难度很高。

你在说什么啊

我在问你依据，怎么知道这个AI引擎就是RDML啊，RDML是啥呀，有依据没啊，官方文档有没有啊，大佬能不能给我这个小白展示展示呀

可以到原贴回复我吗，谢谢大佬！！！!

显示全部楼层 · 发表于 2021-5-2 00:22:37

本帖最后由温馨小屋于 2021-5-2 00:24 编辑

anthonyqian 发表于 2021-5-2 00:21
DP拦截了部分加密操作，但没触发SONAR，没有终止进程。。。

这是常规操作，似乎诺顿里的SONAR已经不管勒索了，DP会阻止勒索程序的所有读写操作，后面就没事了，结束了。

你去搜索一下有没有被加密文件。

显示全部楼层 · 发表于 2021-5-2 00:26:13

Virus4 发表于 2021-5-2 00:21
你在说什么啊，暂且不说你对动态脱壳的理解的问题。

以前的瑞星引擎报机器学习，前面都会加RDML这几个字。

比如像这种的

Trojan.Generic@ML.89 (RDML:Uk29KsvSVSOwaUQH9Q1TVw)

显示全部楼层 · 发表于 2021-5-2 00:26:50

本帖最后由温馨小屋于 2021-5-2 00:27 编辑

MES miss

在MES监控下，样本加密速度非常慢，只有卡巴虚拟机的十分之一不到，可能是RP的增强补救备份文件导致的，不过这也太慢了，难怪MES默认没有启用这项功能

到后面速度又上升到了230+MB/s的速度，可能是超过了RP的跟踪监控时间，直接放飞自我了。

显示全部楼层 · 发表于 2021-5-2 00:27:23

00006666 发表于 2021-5-1 12:26
以前的瑞星引擎报机器学习，前面都会加RDML这几个字。

比如像这种的

所以怎么知道的这个RDML是个引擎呢，这个RDML是什么意思呢

你怎么知道的那个你所说的AI引擎就单独只代表这个RDML呢

显示全部楼层 · 发表于 2021-5-2 00:28:32

本帖最后由 00006666 于 2021-5-2 00:30 编辑

Virus4 发表于 2021-5-2 00:27
所以怎么知道的这个RDML是个引擎呢，这个RDML是什么意思呢

我就缩写下

，我也不知道这是什么引擎。
那个AI引擎不是我说的。

一直说的是基于决策树算法的机器学习引擎

显示全部楼层 · 发表于 2021-5-2 00:30:28

本帖最后由 Virus4 于 2021-5-1 12:31 编辑

00006666 发表于 2021-5-1 12:28
我就缩写下，我也不知道这是什么引擎。
那个AI引擎不是我说的。

别耍赖嗷，你说的AI引擎就是RDML

我不知道什么AI引擎也不知道RDML，我可不敢乱说，都是你说的嗷

不管叫什么AI还是这个那个，你怎么知道就是RDML呢

显示全部楼层 · 发表于 2021-5-2 00:33:44

Virus4 发表于 2021-5-2 00:30
别耍赖嗷，你说的AI引擎就是RDML

由于报毒名前面基本都会有RDML这几个字，所以个人习惯于把基于决策树算法的瑞星传统机器学习引擎简称为RDML

[病毒样本] 自制勒索软件 V1.0