搜索
楼主: 00006666
收起左侧

[病毒样本] rootkit

  [复制链接]
ICzcz
发表于 4 天前 | 显示全部楼层
zpy0206 发表于 2022-1-13 11:29
我好像上报从来没有被回复过...

我也只是最近被回复过两次

@Eset小粉絲 几乎一直被回复QWQ羡慕嫉妒。。
swizzer
发表于 4 天前 | 显示全部楼层
锁库智量(2021/12/8)

Heur.ML.PE.E


智量这个E报法是专门针对Rootkit训练过吧从去年到现在好多Rtk都是这个报法杀掉的···

评分

参与人数 1人气 +1 收起 理由
QVM360 + 1 精品文章

查看全部评分

00006666
 楼主| 发表于 4 天前 | 显示全部楼层
本帖最后由 00006666 于 2022-1-13 11:50 编辑
swizzer 发表于 2022-1-13 11:35
锁库智量(2021/12/8)

Heur.ML.PE.E

可能是报的壳吧,很多RT都带VMP,这个样本没认真分析过,不知道有没有加壳。
paul_guo
发表于 4 天前 | 显示全部楼层
KES MISS
NICO-COOPER
发表于 4 天前 | 显示全部楼层
emsisoft扫描miss,已手动添加隔离区并上报
vaedzy
发表于 4 天前 | 显示全部楼层
ICzcz 发表于 2022-1-13 11:32
我也只是最近被回复过两次

@Eset小粉絲 几乎一直被回复QWQ羡慕嫉妒。。

MDE送走了
swizzer
发表于 4 天前 | 显示全部楼层
00006666 发表于 2022-1-13 11:42
可能是报的壳吧,很多RT都带VMP,这个样本没认真分析过,不知道有没有加壳。

就我的观察,智量的B报法是专杀加壳样本的(基本其他报法的样本,加壳后就变成B杀;特别是加vmp和upx壳的时候,几乎一杀一个准)。

E报法反倒一般都是杀Rtk或者一些冷门的Backdoor。
heavencc
发表于 4 天前 | 显示全部楼层
大数字 Win32/Trojan.Generic.GgoASj0A
00006666
 楼主| 发表于 4 天前 | 显示全部楼层
本帖最后由 00006666 于 2022-1-13 15:51 编辑
swizzer 发表于 2022-1-13 15:10
就我的观察,智量的B报法是专杀加壳样本的(基本其他报法的样本,加壳后就变成B杀;特别是加vmp和upx壳的 ...

但是这个样本确实有VMP,静态机学应该只能看到混淆后的数据




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
swizzer
发表于 4 天前 | 显示全部楼层
00006666 发表于 2022-1-13 15:49
但是这个样本确实有VMP,静态机学应该只能看到混淆后的数据

就算不加壳,机学也只能看到二进制数据,看不明白最本质的API序列

大不了再训练个模型专门针对加壳的,反正只要壳算法能保证一一映射,总会有些信息无法被掩盖的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-1-17 23:54 , Processed in 0.091962 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表