#Magniber msi 1X (2022-05-27-01)

显示全部楼层 · 发表于 2022-5-28 01:01:23

IamAngry 发表于 2022-5-28 00:59
我的AMD用之前卡巴没啥兼容问题， 5800H
现在AMD的U已经很常见了，应该没啥问题的

我其实也没经历过，不过几个月前看卡巴版区好多反馈AMD开虚拟化会蓝屏的帖子……，去翻一下能找到好多……

@hushuai

显示全部楼层 · 发表于 2022-5-28 01:02:57

huangzihang 发表于 2022-5-27 11:58
真绝....我六七个小时前就上报了BD，手动上报的，居然还没拉黑。。。这个貌似是反虚拟机的...BD上报难道 ...

哪个Magniber反虚拟机了。。不都是双击秒加密

现在BD反应不一样了，BD先相应先提示拦截，过几秒看着文件被加密

显示全部楼层 · 发表于 2022-5-28 01:03:09

huangzihang 发表于 2022-5-28 00:58
真绝....我六七个小时前就上报了BD，手动上报的，居然还没拉黑。。。这个貌似是反虚拟机的...BD上报难道 ...

BD上报我感觉好像人工分析用的多，一般都挺慢的。

显示全部楼层 · 发表于 2022-5-28 01:04:52

hushuai 发表于 2022-5-28 01:02
哪个Magniber反虚拟机了。。不都是双击秒加密
现在BD反应不一样了，BD先相应先提示拦截，过几秒 ...

原来如此...我偷懒了，我在sandboxie里跑不出行为以为有检测

显示全部楼层 · 发表于 2022-5-28 01:05:43

@huangzihang 这东西行为挺复杂的，SANDBOX有可能运行失败。

显示全部楼层 · 发表于 2022-5-28 01:08:25

huangzihang 发表于 2022-5-28 01:04
原来如此...我偷懒了，我在sandboxie里跑不出行为以为有检测

Sandboxie应该会限制这种Direct Syscall吧

显示全部楼层 · 发表于 2022-5-28 01:08:27

00006666 发表于 2022-5-28 01:05
@huangzihang 这东西行为挺复杂的，SANDBOX有可能运行失败。

(+1)感谢提醒！（貌似目前的用户组无法通过评分的方式回复）

显示全部楼层 · 发表于 2022-5-28 01:09:37

00006666 发表于 2022-5-28 00:49
杀软就算使用VT，为什么那个程序会报虚拟机，杀软使用的VT和虚拟机中运行程序又不一样，如果那个程序是报 ...

有不一样的地方，比如常见的检测硬件 Vendor、设备驱动、注册表特征等方式会认为不是虚拟机
但是用 RDTSC 之类基于时钟的检测就可能会认为是虚拟机

显示全部楼层 · 发表于 2022-5-28 01:16:09

Hibike 发表于 2022-5-28 01:08
Sandboxie应该会限制这种Direct Syscall吧

Sandboxie管理员直接提示不是有效的Win32应用程序，非管理员则有安装界面无加密移出文件，Windows Sandbox报找不到fodhelper.exe，目测是为了绕过UAC提权，添加fodhelper后Windows sandbox疯狂弹命令行窗口，不过并没见到加密行为，这个行为看来必须得在实机或者虚拟机里才能跑出来了

显示全部楼层 · 发表于 2022-5-28 08:49:49

00006666 发表于 2022-5-27 23:17
卡巴/BD/360这类用了VT的倒是能拦，智量或许可以把使用VT的方案列入开发计划，以后条件合适了可以用上来 ...

智量微软认证都还没过整vt怕不是想太多了吧……

[病毒样本] #Magniber msi 1X (2022-05-27-01)

评分