MB样本 (4.12) x310

显示全部楼层 · 发表于 2022-4-13 17:27:12

本帖最后由 onedrive 于 2022-4-13 01:29 编辑

anthonyqian 发表于 2022-4-13 01:24
你试着刷新一下VT看看，咖啡肯定报了。你截图的VT结果都是样本刚刚上传VT时的检测结果，此时咖啡不报说明 ...

好像还真是，刷了下确实报了，是谁上传的。。。这么一看，似乎还是得看企业版测试结果...

显示全部楼层 · 发表于 2022-4-13 17:30:15

onedrive 发表于 2022-4-13 17:27
好像还真是，刷了下确实报了，是谁上传的。。。这么一看，似乎还是得看企业版测试结果...

而且这个人一口气还上传了200多个。。。大量上传这种没营养的简单改改MD5的样本到VT，也算是滥用这项免费服务了吧。。。。

显示全部楼层 · 发表于 2022-4-13 17:31:00

anthonyqian 发表于 2022-4-13 01:30
而且这个人一口气还上传了200多个。。。大量上传这种没营养的简单改改MD5的样本到VT，也算是滥用这项免费 ...

如果这么说的，那么咖啡个人版应该是对日志做了精简。我重新改md5测试下。

显示全部楼层 · 发表于 2022-4-13 17:35:19

onedrive 发表于 2022-4-13 17:31
如果这么说的，那么咖啡个人版应该是对日志做了精简。我重新改md5测试下。

你测测看吧，选那些只有JTI检测的样本。

个人版的日志没有精简啊，如果一个样本同时触发JTI RP 特征杀，都会一并显示的

显示全部楼层 · 发表于 2022-4-13 17:37:46

anthonyqian 发表于 2022-4-13 01:35
你测测看吧，选那些只有JTI检测的样本。

个人版的日志没有精简啊，如果一个样本同时触发JTI RP 特征杀 ...

我在用R46测试，是没有月神了，RP还会显示的。扫描156，我再双击一下。

显示全部楼层 · 发表于 2022-4-13 17:41:42

onedrive 发表于 2022-4-13 17:37
我在用R46测试，是没有月神了，RP还会显示的。扫描156，我再双击一下。

RP 特征杀都是不依赖哈希的，就是咖啡这方面做的很弱，而且基于RP 特征杀的检测性能很一般，需要耗用比较多的CPU资源。。。

你可以试试看把一两个改过MD5不报的样本传到VT上，看看多久拉黑。。。

显示全部楼层 · 发表于 2022-4-13 17:44:18

显示全部楼层 · 发表于 2022-4-13 17:46:06

本帖最后由 onedrive 于 2022-4-13 01:48 编辑

anthonyqian 发表于 2022-4-13 01:41
RP 特征杀都是不依赖哈希的，就是咖啡这方面做的很弱，而且基于RP 特征杀的检测性能很一般，需要耗用比较 ...

试了下改MD5的100、101、102双击都报RP-PENG这种杀了...我上传一下试试，双击了六十来个，大概20个没报，虚拟机死机了，诺顿疯狂报毒，我有点担心是不是穿透虚拟机了...放弃测试。放弃了放弃了。

显示全部楼层 · 发表于 2022-4-13 17:53:39

onedrive 发表于 2022-4-13 17:46
试了下改MD5的100、101、102双击都报RP-PENG这种杀了...我上传一下试试，双击了六十来个，大概20个 ...

RP-PENG是只有执行后才会触发的报法了，通常会涉及到回滚。。。

诺顿报毒可还行。。

显示全部楼层 · 发表于 2022-4-13 17:56:42

本帖最后由 onedrive 于 2022-4-13 01:58 编辑

anthonyqian 发表于 2022-4-13 01:53
RP-PENG是只有执行后才会触发的报法了，通常会涉及到回滚。。。

诺顿报毒可还行。。

是的，正是如此，扫描中在改MD5后仅发现1个依然是jti，报法依然是那个1996啥的，其他jti均不报了，包括100、101、102。这三个双击报RP-PENG啥的...主要是实体机诺顿报了，我怕被穿，把虚拟机还原了。更新：怕诺顿这老旧的技术扛不住，换BD了。

[病毒样本] MB样本 (4.12) x310