#娱乐向 #业余向从各大杀软对篡改版 BlackSun 脚本勒索的反应看特征提取强度

显示全部楼层 · 发表于 2022-3-20 22:52:47

anthonyqian 发表于 2022-3-20 22:48
JTI/Suspect = Artemis

改一改md5就过了

个人版反正全是这种，再加上那个执行监控…
企业版好一点。

显示全部楼层 · 发表于 2022-3-20 23:26:53

anthonyqian 发表于 2022-3-20 08:58
Avast似乎只有FileRepMalware才是MD5拉黑。上次有个Fake installer的样本，从毒网下载样本，hash会变化， ...

很早就发现了VT上的ESET好像并不准，好多我这里ESSP报毒的文件，上传到VT上，VT上的ESET都不报毒，就很怪

显示全部楼层 · 发表于 2022-3-20 23:41:00

偷电狂魔发表于 2022-3-20 23:26
很早就发现了VT上的ESET好像并不准，好多我这里ESSP报毒的文件，上传到VT上，VT上的ESET都不报毒，就很怪 ...

害，VT耽误事，我用ESET Online Scanner重新测了，这回应该准了。。。

显示全部楼层 · 发表于 2022-3-21 00:13:32

本帖最后由 ANY.LNK 于 2022-3-21 00:29 编辑

很奇怪的是，微软有时候会进行很精确地提取特征码以至于难以进行免杀，但有的时候比如说某个恶意脚本删除了powershell.exe前面的路经（不影响脚本恶意行为）就会暂时不再报毒。
PS：我没能复现楼主的结果，Microsoft Defender在我在文件末尾加入随机代码后仍然报毒Backdoor:Win32/Bladabindi!ml报毒名前后不变。以及检查了一下微软不是入库报毒的，而是云机器学习杀，因此可能会出现楼主测试中的结果。（←话说微软这么久不入库是因为一直没有入库还是入过库又移除了本地库中的检测基因码）

显示全部楼层 · 发表于 2022-3-21 10:37:38

本帖最后由 anthonyqian 于 2022-3-21 10:55 编辑

ANY.LNK 发表于 2022-3-21 00:13
很奇怪的是，微软有时候会进行很精确地提取特征码以至于难以进行免杀，但有的时候比如说某个恶意脚本删除了 ...

我会再复测一下MD~
——————

测完了，MD还是只能检测出原始的样本，报毒名变成了Backdoor:Win32/Bladabindi!ml。挑战一~挑战四的样本扫描不报。

显示全部楼层 · 发表于 2022-3-22 15:30:13

本帖最后由 aboringman 于 2022-3-22 15:36 编辑

swizzer 发表于 2022-3-20 16:53
看到ESET的结果我还是有所怀疑的。VT上的ESET引擎可能与本地实际使用的有一定区别，所以仿照楼主说的几个方 ...

自古2P没人看系列（Doge）

https://bbs.kafan.cn/forum.php?m ... 514&fromuid=1000501

显示全部楼层 · 发表于 2022-4-28 20:49:52

火绒用户看了表示放心

显示全部楼层 · 发表于 2022-4-29 12:47:20

大佬牛逼

显示全部楼层 · 发表于 2022-4-29 21:45:42

360那种是只对一些广泛传播样本进行本地特征码提取，以前有类似的测试:https://bbs.kafan.cn/thread-2177174-1-1.html

大多数样本是不提取本地特征码的，但是有一些样本好像会在云端提取机学特征，如果样本被更改MD5等处理后会变成机学报法，以及有一些样本会被自动上传并迅速云端拉黑(一分钟内即完成机器拉黑)

显示全部楼层 · 发表于 2022-4-30 16:22:37

不知道瑞星之剑的成绩单如何

[技术原创] #娱乐向 #业余向从各大杀软对篡改版 BlackSun 脚本勒索的反应看特征提取强度

评分

[技术原创] #娱乐向 #业余向 从各大杀软对篡改版 BlackSun 脚本勒索的反应看特征提取强度

评分

[技术原创] #娱乐向 #业余向从各大杀软对篡改版 BlackSun 脚本勒索的反应看特征提取强度