【06.06】1000x 样本合集

心醉咖啡

NT狼狼 发表于 2021-6-7 10:52
毒霸本地都能杀430个了，厉害

可是现在云拉跨了

企稳向好

BFAX 发表于 2021-6-7 00:31
请把你说的有问题的样本给我，我给Apocaly看下是否有问题
钓鱼链接放在PDF中查杀测试是很通常的做法，具 ...

倒不是不能杀，只是响应优先级可能比较低
比如BD，它响应速度次序大概是PE>脚本>文档（office宏，钓鱼PDF等）
主要是前面的靠ATD遥测和云沙盘比较好搞自动机入库，直接滚键盘了事，后面的可能人工介入多一些，一般要是爬到了就爬到了，没收集到的话就可能放置很长时间。最后入库也多是人工鉴定报法（比如有专门的钓鱼PDF报法）。随便找了两个PDF，BD都不杀，其他家入库的也不多：

https://www.virustotal.com/gui/f ... 52450febe/detection
https://www.virustotal.com/gui/f ... 46d4f424f/detection

在未检出PDF时，它的钓鱼链接也不一定能被BD拉黑。但是BD的web防护有点玄学问题，原始链接失效的情况下，有时候能拦住，有时候就直接不拦了，目前我还不确定这是不是我这里独有的bug

比如这个：https://www.virustotal.com/gui/f ... 46d4f424f/detection
链接已经失效了，就不好测试BD的web防护了

再说说插件的问题，除了Norton以外，其实还有家比较神奇，就是MalwareBytes，它的Browser Guard插件可以完全独立使用，检测策略可以设置的比客户端本体严格（当然误报也更高），理论上装不装插件确实会影响检测率
关于MBBG的问题，官人的blog：
https://blog.malwarebytes.com/ma ... kbait-and-scammers/
其中指出，MB和MBBG“share a database of blocked IPs and domain”，但MBBG能提供额外保护（不依赖IP/数据库的基于行为的检测，以及拦截广告与跟踪器）：“blocks more than just domains and IP addresses. Not only does it recognize malicious websites based on their behavior that are not in the database (yet), it also blocks advertisements and trackers. ”

trumping

BFAX 发表于 2021-6-6 21:56
我记得前些天测试ESM365的时候一miss一个准，最近进步挺大的，就是主程序还是有不少bug

esm神奇之处就是有个本地引擎很厉害 随着特征码加入 这个本地引擎查杀率会越来越高

FD丶纸鸢

bd kill 666x
不知道什么原因只能解压出来987个 余下的无法测试
987x中kill 666x

另外楼上那个违规了吧......

trumping

BFAX 发表于 2021-6-6 20:08
ESM365云杀还是不少的

其实瑞星引擎技术在国际上能排第一梯队中上 但是查杀率没完全发挥出来 是因为用户太少 有时候为了平衡误报不得已降低查杀率

救命稻草

hyx2230 发表于 2021-6-6 20:03
不知道

今天问了官人，这个扫描器终于完成了它4年多的使命。

dg1vg4

四天后的瑞星杀毒软件v17：812个