查看: 4214|回复: 26
收起左侧

[讨论] 一行代码让智量报毒

[复制链接]
B100D1E55
发表于 2021-7-16 14:01:37 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2021-7-17 02:47 编辑

Visual Studio新建一个C#项目:





插入这行代码



Console.Write("<?xml version=\"1.0\" encoding=\"UTF-8\" standalone=\"yes\"?>\r\n<!-- Copyright (c) Microsoft Corporation -->\r\n<!--\r\n    This is the manifest file only for Explorer.\r\n    It only differs from windowsshell.manifest in the <dpiAware> tag.\r\n-->\r\n<assembly xmlns=\"urn:schemas-microsoft-com:asm.v1\" manifestVersion=\"1.0\">\r\n<assemblyIdentity\r\n    name=\"Microsoft.Windows.pcshellshell.explorer\"\r\n    processorArchitecture=\"amd64\"\r\n    version=\"5.1.0.0\"\r\n    type=\"win32\"/>\r\n<description>Windows Shell</description>\r\n<dependency>\r\n    <dependentAssembly>\r\n        <assemblyIdentity\r\n            type=\"win32\"\r\n            name=\"Microsoft.Windows.Common-Controls\"\r\n            version=\"6.0.0.0\"\r\n            processorArchitecture=\"*\"\r\n            publicKeyToken=\"6595b64144ccf1df\"\r\n            language=\"*\"\r\n        />\r\n    </dependentAssembly>\r\n</dependency>\r\n<trustInfo xmlns=\"urn:schemas-microsoft-com:asm.v3\">\r\n    <security>\r\n        <requestedPrivileges>\r\n            <requestedExecutionLevel level=\"asInvoker\" uiAccess=\"false\"/>\r\n        </requestedPrivileges>\r\n    </security>\r\n</trustInfo>\r\n<application xmlns=\"urn:schemas-microsoft-com:asm.v3\">\r\n    <windowsSettings>\r\n        <dpiAwareness xmlns=\"http://schemas.microsoft.com/SMI/2016/WindowsSettings\">PerMonitorV2</dpiAwareness>\r\n    </windowsSettings>\r\n</application>\r\n</assembly>");

编译后扫描




至于是为什么……

插入的字符串是explorer.exe的manifest。是不是因为这个字符串出现在manifest之外的地方就拉警报了呢。我试着把这个字符串放入manifest里再扫就不报毒了。反正机学引擎黑盒测试经常会出现各种神奇的现象。



update:发现不是string内容的问题,我把string替换成The quick brown fox jumps over the lazy dog多print几个就会报毒。估计是简易程序的某种结构触发了报毒…………调敏感度照样报,估计恶意分数很高了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 8分享 +3 魅力 +1 人气 +18 收起 理由
wangkaka + 3 神马都是浮云
屁颠屁颠 + 3 + 1 + 3 版区有你更精彩: )
,就一个. + 2 赞一个!
swizzer + 3 不愧是B大
YorkWaugh + 2

查看全部评分

B100D1E55
 楼主| 发表于 2021-7-16 15:10:59 | 显示全部楼层
青山永恒 发表于 2021-7-16 14:37
以前360QVM和Cylance也会报这种。

的确,n年前QVM和Cylance各种神奇的报毒姿势,不知道现在怎么样了。我记得当年有谁倡议举办个比赛看谁能用最短小的程序让机学引擎报毒来着的……上面这个样本报毒的两家去掉那行代码照样报
swizzer
发表于 2021-7-16 16:39:35 | 显示全部楼层
@智量官方

是不是要考虑重新训练模型了
智量官方
发表于 2021-7-16 17:44:00 | 显示全部楼层
swizzer 发表于 2021-7-16 16:39
@智量官方

是不是要考虑重新训练模型了

感谢楼主测试,这只能说明有大量恶意程序具有与楼主程序相似的代码和字符串结构.

如果真实世界有大量类似楼主程序的白文件,那retrain是有用的,但是如果很少比如只有楼主程序这一个,那对整体判别影响很小,
ELOHIM
发表于 2021-7-16 23:23:34 | 显示全部楼层
B大好。
弄个同名dll傀儡下可以不?大B是不是发现了漏洞了。。
B100D1E55
 楼主| 发表于 2021-7-17 02:39:18 | 显示全部楼层
青山永恒 发表于 2021-7-16 18:15
现在QVM和Cylance的误报控制比以前好很多了,至少你测的这种不会报了。

早年报hello world、SFX之类的被喷惨了,现在应该至少是要改进一些了
B100D1E55
 楼主| 发表于 2021-7-17 02:41:11 | 显示全部楼层
swizzer 发表于 2021-7-16 16:39
@智量官方

是不是要考虑重新训练模型了

我晕,后来发现跟string内容无关,稍微print一个长一点的string就会报毒。最早发现这个是因为改ransomware代码的时候发现不管怎么comment掉code智量都会报毒,comment到最后一点都不剩了智量才消停,再加个console print又报了。我的天
B100D1E55
 楼主| 发表于 2021-7-17 02:44:06 | 显示全部楼层
ELOHIM 发表于 2021-7-16 23:23
B大好。
弄个同名dll傀儡下可以不?大B是不是发现了漏洞了。。

没看懂同名dll这个是什么意思这个不算漏洞吧,当然如果反向当年Cylance的操作,加个什么无害特征就可以报毒的话倒的确会是个问题

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

swizzer
发表于 2021-7-17 07:28:28 来自手机 | 显示全部楼层
B100D1E55 发表于 2021-7-17 02:41
我晕,后来发现跟string内容无关,稍微print一个长一点的string就会报毒。最早发现这个是因为改ransomwar ...

这就有点离谱了…

虽然官人可能还是不会改
swizzer
发表于 2021-7-17 07:30:43 来自手机 | 显示全部楼层
本帖最后由 swizzer 于 2021-7-17 08:47 编辑
青山永恒 发表于 2021-7-17 07:21
人工智能引擎,误报问题都普遍存在,智量作为本地引擎,却采用MD5入库的方式,这是一个更大的问题,你可 ...

这点小测试还是用不着B大出手。

方便给出你说的样本吗?
我以前也是测过修改MD5的,怎么就没碰上你说的情况…依然是入库报法

-----------------------------------------------

另外,你难道不知道,传统特征可以加通杀特征码,ML也可以训练专门针对某一家族的模型吗···况且模型也能持续训练,从而逐步覆盖以前漏掉的样本进而达到精简病毒库的目的。


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 18:07 , Processed in 0.163609 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表