Magniber

wwwab

00006666 发表于 2022-7-2 11:51
火绒是解包查杀里面的TMP，然后把整个MSI一起清除

直接解包msi只能获得里面的binary和digital signature文件

目前可以确定的是，卡巴斯基之前的HEUR的Magniber通杀，以及金山毒霸，都是查杀的这个病毒的msi进制文件binary，360到后面好像也见过解包msi杀binary的例子

eset直接把Magniber解包后的专属digital signature文件也给通杀了

所以Magniber的特殊性，免杀做得越好，也就越加无法判断杀软的通杀特征到底在哪里，除非杀软自己写出来，然而火绒不会写

如果是tmp，那就是个新思路，不过得跑虚拟沙盒跑出来吧，报毒名字没虚拟沙盒，扫描速度也不慢。难不成是解密了msi？

而且火绒那个报毒名称，同一个Magniber的dll msi tmp都是同一个通用的通杀报毒名称，还真不一定猜得到通杀的哪个地方，反而不写出来可能就是最难搞免杀的杀软之一了

Jirehlov1234

wwwab 发表于 2022-7-2 10:18
直接解包msi只能获得里面的binary和digital signature文件

目前可以确定的是，卡巴斯基之前的HEUR的Ma ...

所以Magniber的特殊性，免杀做得越好，也就越加无法判断杀软的通杀特征到底在哪里，除非杀软自己写出来

有没有一种可能，免杀是刻意的，但效果是随缘的（
不过可以通过赎金渠道问问作者打不打算免杀火绒（x）
至于签名的话其实他们把签名丢掉就能彻底免杀eset了（

wwwab

Jirehlov1234 发表于 2022-7-2 18:29
有没有一种可能，免杀是刻意的，但效果是随缘的（
不过可以通过赎金渠道问问作者打不打算免杀火绒（x ...

不过可以通过赎金渠道问问作者打不打算免杀火绒

当心他以为你在套路他

00006666

wwwab 发表于 2022-7-2 18:18
直接解包msi只能获得里面的binary和digital signature文件

目前可以确定的是，卡巴斯基之前的HEUR的Ma ...

我个人觉得，查杀TMP的可能性最高

wwwab

00006666 发表于 2022-7-2 18:35
我个人觉得，查杀TMP的可能性最高

那是咋查杀tmp的？虚拟沙盒（应该好像没有用到吧）还是解密

00006666

wwwab 发表于 2022-7-2 18:38
那是咋查杀tmp的？虚拟沙盒（应该好像没有用到吧）还是解密

咋查杀的我不知道也猜不了，得去问火绒工程师，但是之前双击然后TMP注入的时候，火绒报的就是这个TMP，报毒名也带注入，跟外面报MSI的是一样的，所以我认为查杀TMP的可能性比较高

wwwab

00006666 发表于 2022-7-2 18:40
咋查杀的我不知道也猜不了，得去问火绒工程师，但是之前双击然后TMP注入的时候，火绒报的就是这个TMP，报 ...

火绒那个报毒名称，同一个Magniber的dll msi tmp都是同一个通用的通杀报毒名称，还真不一定猜得到通杀的哪个地方

单凭这个无法下结论你也不知道是不是有共性被通杀掉了

00006666

wwwab 发表于 2022-7-2 18:42
火绒那个报毒名称，同一个Magniber的dll msi tmp都是同一个通用的通杀报毒名称，还真不一定猜得到通杀的 ...

这倒确实，本身我对火绒也不太了解

wwwab

00006666 发表于 2022-7-2 18:52
这倒确实，本身我对火绒也不太了解

了解你也不知道

而且一个被通杀的报毒名称同时命中同一个同一种病毒的多个模块组件不是很正常，有的时候会有共性的特征，eset和火绒在这方面可能更容易被遇见

paimon

韩文网站？