rootkit

显示全部楼层 · 发表于 2022-1-13 11:32:47

zpy0206 发表于 2022-1-13 11:29
我好像上报从来没有被回复过...

我也只是最近被回复过两次

@Eset小粉絲几乎一直被回复QWQ羡慕嫉妒。。

显示全部楼层 · 发表于 2022-1-13 11:35:33

锁库智量（2021/12/8）

Heur.ML.PE.E

智量这个E报法是专门针对Rootkit训练过吧

从去年到现在好多Rtk都是这个报法杀掉的···

显示全部楼层 · 发表于 2022-1-13 11:42:53

本帖最后由 00006666 于 2022-1-13 11:50 编辑

swizzer 发表于 2022-1-13 11:35
锁库智量（2021/12/8）

Heur.ML.PE.E

可能是报的壳吧，很多RT都带VMP，这个样本没认真分析过，不知道有没有加壳。

显示全部楼层 · 发表于 2022-1-13 11:58:08

KES MISS

显示全部楼层 · 发表于 2022-1-13 12:53:27

emsisoft扫描miss，已手动添加隔离区并上报

显示全部楼层 · 发表于 2022-1-13 12:54:46

ICzcz 发表于 2022-1-13 11:32
我也只是最近被回复过两次

@Eset小粉絲几乎一直被回复QWQ羡慕嫉妒。。

MDE送走了

显示全部楼层 · 发表于 2022-1-13 15:10:16

00006666 发表于 2022-1-13 11:42
可能是报的壳吧，很多RT都带VMP，这个样本没认真分析过，不知道有没有加壳。

就我的观察，智量的B报法是专杀加壳样本的（基本其他报法的样本，加壳后就变成B杀；特别是加vmp和upx壳的时候，几乎一杀一个准

）。

E报法反倒一般都是杀Rtk或者一些冷门的Backdoor。

显示全部楼层 · 发表于 2022-1-13 15:14:14

大数字 Win32/Trojan.Generic.GgoASj0A

显示全部楼层 · 发表于 2022-1-13 15:49:02

本帖最后由 00006666 于 2022-1-13 15:51 编辑

swizzer 发表于 2022-1-13 15:10
就我的观察，智量的B报法是专杀加壳样本的（基本其他报法的样本，加壳后就变成B杀；特别是加vmp和upx壳的 ...

但是这个样本确实有VMP，静态机学应该只能看到混淆后的数据

显示全部楼层 · 发表于 2022-1-13 16:01:59

00006666 发表于 2022-1-13 15:49
但是这个样本确实有VMP，静态机学应该只能看到混淆后的数据

就算不加壳，机学也只能看到二进制数据，看不明白最本质的API序列

~~大不了再训练个模型专门针对加壳的，反正只要壳算法能保证一一映射，总会有些信息无法被掩盖的~~

[病毒样本] rootkit