远控1x

显示全部楼层 · 发表于 2022-7-2 20:40:32

Jirehlov1234 发表于 2022-7-2 20:33
卡巴企业版的弹窗输密码也能直接解压很怪，怎么做到的

估计是用了什么奇怪的压缩软件压出来的（摊手）

显示全部楼层 · 发表于 2022-7-2 20:51:25

本帖最后由 UNknownOoo 于 2022-7-2 21:04 编辑

智量
~~扫描：miss~~已拉黑
双击：miss

显示全部楼层 · 发表于 2022-7-2 21:37:25

BEST落地杀 Gen:Variant.Lazy.192449

显示全部楼层 · 发表于 2022-7-2 21:52:03

UNknownOoo 发表于 2022-7-2 20:51
智量
~~扫描：miss~~已拉黑
双击：miss

感谢测试，你那是不是双击后会立即退出呢? 如果是不算miss的，样本有虚拟机识别。

可以使用Process Hacker, Process Explorer, Autorun之类的工具，其中Process Hacker,或者Process Explorer在网络栏中可以看到样本是否能成功连上服务器，是否能成功交换数据。Autorun工具可以看到样本是否成功驻留，这些往往是系统被成功入侵的标志

显示全部楼层 · 发表于 2022-7-2 22:01:26

智量官方发表于 2022-7-2 21:52
感谢测试，你那是不是双击后会立即退出呢? 如果是不算miss的，样本有虚拟机识别。

可以使用Process Ha ...

emmm...连接应该已经建立了（测试环境为实体机
防火墙不停提示访问网络，但是没有杀

显示全部楼层 · 发表于 2022-7-2 22:29:32

McAfee 扫描杀

显示全部楼层 · 发表于 2022-7-2 23:05:55

UNknownOoo 发表于 2022-7-2 22:01
emmm...连接应该已经建立了（测试环境为实体机
防火墙不停提示访问网络，但是没有杀

与CC服务器交互的数据是0，应该是没有连上，可以使用Process Hacker之类的工具看看是否连上，没有连上会一直是SYN SENT的状态

显示全部楼层 · 发表于 2022-7-2 23:10:29

智量官方发表于 2022-7-2 23:05
与CC服务器交互的数据是0，应该是没有连上，可以使用Process Hacker之类的工具看看是否连上，没有连上会 ...

应该是连上了的QAQ

显示全部楼层 · 发表于 2022-7-3 10:44:21

UNknownOoo 发表于 2022-7-2 23:10
应该是连上了的QAQ

你好，请问你测试系统的版本是什么？有没有做什么针对虚拟机检测的特殊处理?

显示全部楼层 · 发表于 2022-7-3 10:48:31

智量官方发表于 2022-7-3 10:44
你好，请问你测试系统的版本是什么？有没有做什么针对虚拟机检测的特殊处理?

这个样本我放在实机跑的，为了测双击把智量的基础实时防御关了
系统版本是win10 21H2家庭版

[病毒样本] 远控1x

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块