搜索
查看: 7754|回复: 191
收起左侧

[病毒样本] 【非常凶悍,让所有主流杀软沦陷的病毒】

  [复制链接]
众生悟道
发表于 2022-5-11 09:24:55 | 显示全部楼层 |阅读模式
本帖最后由 众生悟道 于 2022-5-11 10:54 编辑

     病毒样本在最后面!!!
       本人杀软综合症十多年了,从大蜘蛛,到卡巴,到BD个人版,BD商业版,BD企业精英版,几乎所有主流杀软,折腾了个遍,也花了很多钱,都买的正版的,只是为了试验那个杀软才是最牛逼的,最可靠的,结果是各种杀软的翻车现场,不断的打击着我杀软的信仰和情怀,相信各位杀软综合症晚期的伙伴深有体会吧。
     尤其是半个月前,找了几个凶悍的样本,测试中,竟然集体翻车,电脑被破坏,数据被删除,组策略被修改,各项杀软细节设置,灵敏度,都是可以产生误报的级别,全都是最高安全级别,哪怕有一个起点作用也行,哪怕来个误报也行啊,什么卡巴,BD企业精英版,什么世界第一,牛逼吹得响,可是事实很打脸。在未知威胁面前,永远是很无力的,当时把我气的想砸电脑

     当时翻车的有:avast,迈克菲,火绒,大蜘蛛安全空间,KIS,  KES11.6,   BD商业版,BD企业精英版, 因为时间长了,半个多月过去的,有的杀软可能已经入库了,这里说下值得一提的问题。

     BD企业精英版,当时300大洋淘宝买的正版,想着是它有沙盒,BD的沙盒的分析能力是非常强大的,但是被设计废了,

  1.  先说逻辑问题,我测试的样本,因为未知,沙盒自动上传分析,沙盒分析为安全,返回安全结果,可以运行,这个正常;  沙盒分析有危险,返回结果,进行阻止,这个也正常;
    可是,有一个自动分析失败的问题,官方没有考虑到这一点,这是一个很严重的漏洞,是致命的,比如,我测试的时候,云端沙盒显示自动分析失败,这个时候,竟然对未知威胁放行了,然后电脑就废了,那么沙盒模式为拦截模式,这个模式下,必须等沙盒分析有结果,软件才能运行,这个没问题,但是对分析失败的,是绝对不能放行的,因为这是拦截模式,不是监控模式,怎么能放行呢?如果客户有运行的需要,他可以设置成监控模式啊,

2.沙盒分析结果,不和云端共享,云沙盒自动分析失败,我用手动,手动还是失败,后来我改了引爆的设置,延长了时间,分析成功,威胁程度95分,属于非常严重的威胁,那么,既然已经这样严重了,最起码你得共享到云端,云拉黑此样本吧,及时拦截,防止进一步扩散,危害更多电脑吧,即便是误报,误拦截,也总比破坏用户电脑和数据好吧?可是当时好几天过去了,还是无动于衷,无法检测这个威胁,那这个沙盒的作用好意义是不是也太小了,况且这个云沙盒,个别的自动分析失败的问题,自动上传的,又没有可以设置自动引爆的设置选项,只有手动上传的才有,分析失败的,它又不拦截,所以说,BD的技术厉害是厉害,可是设计逻辑上有问题,


      卡巴第一次测试,当时翻车,第二天,那个C盘格式化病毒,已经可以启发杀,但是另外两个还是不行,
  卡巴的高限制,依然无法阻止威胁,卡巴组合键失效,大蜘蛛行为分析的所以重要敏感权限,我全都阻止,已经是最高级别,可是依然翻车
  这里吐槽一下卡巴,不知道为什么,卡巴是越发展越倒退,比如卡巴最早的安全桌面,多好的功能,被砍掉了,比如之前的受信任应用程序模式,多好的功能,又被砍掉了,再看看最新的没有发布21.6或者21.7的那个设置界面,搞得真恶心,用卡巴的人,经常喜欢点开KSN看看KSN状态,结果新的设置界面搞得乱七八糟,找个KSN需要点击很多步骤,现在真的是到处缺人才啊


      这里特别说一下智量,这个很优秀,智量能做到这水平,已经非常不错了,最高安全级别的时候,防御了,但是把灵敏度降了一个级别后,就又翻车了,但是智量已经算是非常优秀的了,我感觉唯一不足的是,就是软件没有密码保护设置,

     后来,我分析总结,当前杀软最大弱点,就是对未知威胁的处理,对于已知威胁,那都不用说,个个都很牛逼,后来通过不断折腾才发现,原来在未知威胁面前,毛豆才是永远的神!!!
可是竟然都被我们忽视了,杀软如果靠上报是没有意义的

    毛豆的扫描很废,可是主防却可以,这几个样本,只有毛豆防住了,而我查询云端的时候,都是未知状态,
    毛豆的自动入沙机制,很牛逼,对于未知威胁全都自动入沙,沙盘设置很人性化,有了这个,所有病毒样本随便浪,尤其当年看着病毒程序在你电脑上进行着破坏画面,而又无法破坏电脑的那种爽,真是太治愈综合症了

    还有主机入侵防御系统,禁用沙盒,单纯使用HIPS,各种极端的测试,只要你能按照它的安全提示操作,电脑完好无损,不管你是多么厉害的勒索或病毒,百分百防御,就这么绝对,百分百,重要的是免费啊
    关于漏沙,有的人漏沙有误解,漏沙是说病毒穿透虚拟坏境,对实体机造成破坏,那叫漏沙,
我测试的时候,有个样本在虚拟环境运行的时候,电脑被关机,但是开机后,一切完好无损,这不叫漏沙,因为电脑关机,虚拟坏境也就关闭,虚拟坏境关闭了,病毒也就结束了,没有对实体机造成任何破坏,所以这并没有漏沙。


    本人现在是KIS+comodo(毛豆),这样的搭配,防御和查杀都是最完美的组合,

卡巴有强大的本地化和KSN数据,所以已知威胁和查杀,交给卡巴;未知威胁交给毛豆,毛豆的自动入沙很牛逼,因为当你运行一个未知威胁的时候,已经明显看出有破坏行为,那肯定是病毒啊,那肯定就不要在实体机运行了,一切软件都可以完美在毛豆的自动入沙中运行,包括QQ和微信,勒索什么的都可以防御,进入虚拟桌面以后,文件没有被加密,那肯定就是安全的,
但是毛豆需要手动倒沙,如果不倒沙,前面的样本破坏了虚拟环境,后面的样本可能就无法在虚拟环境中运行

特别注意:因为卡巴提示和毛豆不兼容,所以这样搭配的时候,要先在毛豆中卡巴的安装路径,进行排除,对卡巴根目录所有.exe进行排除,对卡巴的证书进行排除,不然卡巴都无法启动,然后,在卡巴
对毛豆所有程序进行排除

提示:做完双向排除,卡巴提示不兼容,让卸载的时候,就点击卸载,等到毛豆卸载框弹出来的时候,点击取消,这样卡巴就会重启删除毛豆注册表,然后,就不会有烦人的提示了,没了注册表,并不影响什么,就是无法卸载,如果要卸载的话,重新安装一下,就可以卸载了

但是毛豆的规则,是需要时间去熟悉和打磨的,我刚开始的时候,被毛豆的规则搞得晕晕乎乎,连做梦都在搞毛豆,之前论坛一个人说,毛豆的规则,够你玩一年的,我还不相信,后来一接触,还真是挺烧脑,但是只要你搞懂了,毛豆就是神器,可以百分百防御位置威胁的神器,注意是百分百,一切病毒都不用担心,不管多厉害的病毒,

好了,这里放病毒样本和毛豆安装包,毛豆你们也可以去英文官网www.comodo.com下载,下载那个专业版,就是黄颜色的那个logo,安装的时候,有中文的,这一点,比BD强多了,BD个人版连个中文都没有;如此强大的神器重要的是免费,使用一个月,会有购买提示,只需要降成免费版就行,付费版只是多了一个人工服务而已,没啥用,都是老外,语言也不通,跟他扯了半天也说不明白,卡饭论坛的comodo板块,有免费降级教程,就是改下系统时间就行了
*************************
我靠,我分享的阿里云的病毒样本压缩文件为什么不显示啊,我真服了,压缩文件谁能告诉我,怎么传,第一次搞这种,论坛上传附件有大小限制
**************************好了,我只能把文件夹传上去,你们把整个文件下载下来吧,里面附带的文件少了不能运行,你们小心,千万不要实体机,

[color=rgba(0, 0, 0, 0.85)]「病毒样本和毛豆」https://www.aliyundrive.com/s/xbN2HZEtQXP点击链接保存,或者复制本段内容,打开「阿里云盘」APP ,无需下载极速在线查看,视频原画倍速播放。
[color=rgba(0, 0, 0, 0.85)]
很多人总是怀疑我设置有问题,我真是服了,
这个样本不按套路出牌,不给你反应的机会,运行后卡巴的程序组都找不见它,不知道是不是无文件攻击,HIPS设置,系统的所有全都是拒绝的,包括我保护的个人数据,全都是拒绝访问,连读取权限都不给,可是就是翻车了组策略被修改,时间被改,电脑啥都没了,你们测试一下就知道了
最后再说一下,好多天过去了,这4个样本,卡巴已经拉黑了3个,剩下的1个,我估计可能会有人上报,但是我想说的是未知威胁防御理念的问题,靠上报,是上报不完的。
******************************************************************************************************
给你们放几张图片吧,KES 11.6最高安全级别,卡巴已经无法启动,系统被改的磁盘都无法打开





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +3 收起 理由
huanwoheshan + 2 对于防御未知病毒,comodo确实很牛!当年勒.
yexo + 1 版区有你更精彩: )

查看全部评分

Jirehlov1234
发表于 2022-5-11 09:37:54 | 显示全部楼层
现在的卡巴也能用类似受信任应用程序模式的功能,hips里面把默认分类组(默认的是低限制)的启动权限关掉就好了。

这种格式化搞破坏的并不是在野的常见威胁,尤其是你这个应该是个人写着玩的,即使不做检测我认为也是合理的。
卡巴的话给默认组下面设置低级磁盘访问和低级文件系统访问为询问或者拒绝就好了。
LeeHS
发表于 2022-5-11 09:39:57 | 显示全部楼层
az。。。有其他的下载方式吗,阿里云还要登入
众生悟道
 楼主| 发表于 2022-5-11 09:44:18 | 显示全部楼层
LeeHS 发表于 2022-5-11 09:39
az。。。有其他的下载方式吗,阿里云还要登入

我都不知该用啥传,百度网盘密码都忘了
anxiety520
发表于 2022-5-11 09:45:30 | 显示全部楼层
我说,有没有一种可能,卡巴的hips如果不调整就只能发挥10%的作用呢
众生悟道
 楼主| 发表于 2022-5-11 09:46:59 | 显示全部楼层
Jirehlov1234 发表于 2022-5-11 09:37
现在的卡巴也能用类似受信任应用程序模式的功能,hips里面把默认分类组(默认的是低限制)的启动权限关掉就 ...

你按照你能想到的最高安全设置,测试一下卡巴就知道了,那些权限全都是拒绝,但是没用,依然翻车
anxiety520
发表于 2022-5-11 09:49:01 | 显示全部楼层
众生悟道 发表于 2022-5-11 09:46
你按照你能想到的最高安全设置,测试一下卡巴就知道了,那些权限全都是拒绝,但是没用,依然翻车

之前论坛里有人出教程的呀,本来hips就是需要diy的
众生悟道
 楼主| 发表于 2022-5-11 09:54:17 | 显示全部楼层
anxiety520 发表于 2022-5-11 09:49
之前论坛里有人出教程的呀,本来hips就是需要diy的

这个样本不按套路出牌,不给你反应的机会,运行后卡巴的程序组都找不见它,不知道是不是无文件攻击,又何谈HIPS拦截呢,HIPS设置,系统的所有全都是拒绝的,包括我保护的个人数据,全都是拒绝访问,连读取权限都不给,可是就是翻车了组策略被修改,时间被改,电脑啥都没了,你测试一下就知道了
kuroandsan
发表于 2022-5-11 09:55:55 | 显示全部楼层
额,样本加密一下最好(

还有你这标题太唬人了,我认为这些只是玩笑病毒
Jirehlov1234
发表于 2022-5-11 09:55:57 | 显示全部楼层
众生悟道 发表于 2022-5-11 09:46
你按照你能想到的最高安全设置,测试一下卡巴就知道了,那些权限全都是拒绝,但是没用,依然翻车

手头没测试机器就不玩了。。。拦不住就拦不住吧,关系不大
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-5-24 01:45 , Processed in 0.123130 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表