智量对RAR自解压格式误报较高

swizzer

https://funami.lanzoub.com/iW5pR01gfdzg



采用链接中的WinRAR制作自解压格式文件。在测试中，智量很容易会将制作完成的、大小在4MB以下的自解压包识别为Heur.ML.PE.A。





例如，附件中给出的是一个内容为0000的txt制作的自解压格式文件。智量识别为Heur.ML.PE.A。
但是如果自解压包大小在4MB以上，误报情况会有一定改善。


该问题不久前曾被其他用户反馈过，但是仍未得到解决。@智量官方





测试所用的全部自解压格式文件

https://pan.huang1111.cn/s/AdogSB

YorkWaugh

https://www.rarlab.com/rar/winrar-x32-611.exe
你那第三方的还是小事情

智量官方

感谢反馈，自解压这个问题会在我们的软件模型上做一些特殊处理来解决。

kakenhi

可能是自解压样本太多了，机器学习统一认为rarsfx模板是黑程序。。
其实我觉得机器学习还是只适合做静态特征规则，行为用机器学习容易漏。
老外的想法是就算漏了最终你还是会踩坑，到时候一网打尽，APT报告还能写多点。
问题是国内打攻防多，时间短速度快，漏了你直接GG了。。行为机器学习其实不太适合国情。