#Farfli (via Tg.) (2022/6/19)

00006666

huangzihang 发表于 2022-6-19 23:53
真好啊，某厂商的自动机永远只会GenericKD/KDZ/GKDZ/GZKD/xxZ复读

实际上，你看国外的卡巴，国内的360，奇安信这类的云都是上传云端分析然后用机器拉黑自动分类的，至于红伞那类的云基本不分类，通常都是报APC

huangzihang

00006666 发表于 2022-6-19 23:57
实际上，你看国外的卡巴，国内的360，奇安信这类的云都是上传云端分析然后用机器拉黑自动分类的，至于红 ...

BD也不分类，都是报GenericKD，改MD5好像也过不掉，但是改代码备注可以；诺顿报Trojan.NPE的改md5就能过掉，不知道360和卡巴特征强度怎么样

00006666

huangzihang 发表于 2022-6-20 00:01
BD也不分类，都是报GenericKD，改MD5好像也过不掉，但是改代码备注可以；诺顿报Trojan.NPE的改md5就能过 ...

360这种云拉黑是纯的MD5拉黑，改了MD5就不报的……，不过如果是云端机器拉黑的，改完MD5，本地又被上传，然后它那边云2分钟又给拉黑了……

墓雪千山

FSP 扫描全都miss

00006666

huangzihang 发表于 2022-6-20 00:01
BD也不分类，都是报GenericKD，改MD5好像也过不掉，但是改代码备注可以；诺顿报Trojan.NPE的改md5就能过 ...

BD这个GenericKD这种是本地的，不是云查杀那种云拉黑，它是拿机器自动提取特征下放本地病毒库，改MD5无效很正常，云查杀那种只能对比哈希值这类的，复杂的特征也很难做到云与本地实时对比进行扫描，所以云查杀最多就是用模糊哈希之类，一定程度能抗MD5修改，比如瑞星的云查杀好像就是用的模糊哈希

卡巴也是先用UDS云拉黑，然后等时间到了才下放病毒库

机学是特殊情况，不讨论

00006666

huangzihang 发表于 2022-6-19 23:25
这个入库+分类速度简直了，他们都不用自动机的吗？

然后本帖情况是，template.txt这个东西是个老木马，卡巴它们很早以前就都能用本地库查杀了，是很早以前就入库分类的，其它的那个UDS拉黑是最近才拉黑的。

WD是机学报毒，和入库分类时间无关

ESET原因同卡巴一样

UNknownOoo

智量
双击（UniExt）：报MEMRAY：Potential.RAT.B01第二次双击（UniExt）：报WIBD:HEUR.ShellCode.H00

双击（ApplicPywizable）：报WIBD:HEUR.ShellCode.H00
（不知道这样双击有没有问题..注意文件位置）

00006666

UNknownOoo 发表于 2022-6-20 09:29
智量
双击（UniExt）：报MEMRAY：Potential.RAT.B01第二次双击（UniExt）：报WIBD:HEUR.ShellCode.H00

...

白加黑，把它那三个文件一起复制到其他目录也可以运行的。

只是那个EXE是白程序，DLL才是黑的……

UNknownOoo

00006666 发表于 2022-6-20 09:39
白加黑，把它那三个文件一起复制到其他目录也可以运行的。

只是那个EXE是白程序，DLL才是黑的……

得建议智量加个溯源功能，找到攻击的真正发起者）

lvseqiji

UNknownOoo 发表于 2022-6-20 09:41
得建议智量加个溯源功能，找到攻击的真正发起者）

如果是指令追踪拦截的话，是可以精确拦住黑dll的，否则不太行