请教一下咖啡报毒的名称

显示全部楼层 · 发表于 2022-4-15 22:03:08

用咖啡半个多月，测了1000多个样本，对咖啡报毒名称的类型有所了解。想请教一下，各类名称代表的大致含义。

第一类：

AgentTesla-FDAW

BackDoor-DVB.gen.a

Downloader-FCHG

Emotet-FSQ

Packed-GDT

PWS-FCTB

Trojan-FIGN

这类应该和其他杀软一样，是入库的样本吧。想知道短线后面的字母的含义。

第二类：

Generic-FAWW

GenericRXAA-AA

RDN/Generic.hbg

Real Protect-LS

JTI/Suspect.196612

这类似乎是咖啡特有的名称。想了解一下它们的含义，以及短线后面字母、数字的含义。

第三类：

Suspect

Unknown

Gupboot

MLFNG

RTFObfustream.c

这几个只出现过一次，不知道是什么意思，求教。

显示全部楼层 · 发表于 2022-4-15 22:06:17

部分无文件攻击本地拦截后日志全是Unknown，隔离区也是空的。

等待一个大佬的解答.....

显示全部楼层 · 发表于 2022-4-15 22:15:30

第一类的我都理解为特征杀，同时会涉及到GTI云端查询，其形式是“家族名-后缀!哈希前几位”，这类报法相对比较精准，误报较少。

第二类中的GenericRXXX-XX!哈希前几位是通用杀，也会涉及到GTI查询，例如前段时间的HermeticWiper 咖啡在几天后才为它创建了通用报法。这类报法误报有点高。第二类中的RDN是自动机自动分配的离线检测，可以理解为自动机入库，形如RDN/家族名的检测基本改hash就废了。第二类中的Real Protect-LS是静态机器学习杀。第二类中的JTI/Suspect.196612是所谓月神杀，只能联网触发，也是咖啡检测的主力，也被我怀疑是抄其他厂商的检测，改一改hash就过。

第三类的Suspect和JTI/Suspect.196612是一样的。RTFObfustream.c是RTF文件含有混淆代码的检测。其他俩我不知道。

显示全部楼层 · 发表于 2022-4-15 22:59:15

anthonyqian 发表于 2022-4-15 22:15
第一类的我都理解为特征杀，同时会涉及到GTI云端查询，其形式是“家族名-后缀!哈希前几位”，这类报法相对 ...

感谢解答

人气明天补上

显示全部楼层 · 发表于 2022-4-15 23:36:10

用的个人版还是企业版？
个人版基本就是md5杀毒

显示全部楼层 · 发表于 2022-4-15 23:36:54

bbszy 发表于 2022-4-15 23:36
用的个人版还是企业版？
个人版基本就是md5杀毒

个人版啊

显示全部楼层 · 发表于 2022-4-16 12:11:41

真小读者发表于 2022-4-15 07:36
个人版啊

来玩诺顿呀

显示全部楼层 · 发表于 2022-4-16 12:13:17

onedrive 发表于 2022-4-16 12:11
来玩诺顿呀

看了这个帖子https://bbs.kafan.cn/thread-2224625-1-1.html，设置项太多了，UI也不是很喜欢。放弃

显示全部楼层 · 发表于 2022-4-16 16:14:23

真小读者发表于 2022-4-16 12:13
看了这个帖子https://bbs.kafan.cn/thread-2224625-1-1.html，设置项太多了，UI也不是很喜欢。放 ...

根本不需要设置开箱即用

显示全部楼层 · 发表于 2022-4-16 16:20:28

bbszy 发表于 2022-4-16 16:14
根本不需要设置开箱即用

我手欠，有能改的就忍不住想改着玩。改不了的，也就不想改了

[求助] 请教一下咖啡报毒的名称

评分

评分