收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Ransomware 1x
123456
返回列表 发新帖
楼主: python无名氏
 收起左侧

[病毒样本] Ransomware 1x

[复制链接]
python无名氏
 楼主| 发表于 2023-3-19 21:20:34 | 显示全部楼层
wwwab 发表于 2023-3-19 21:12
不是

场景:

是IDLE(laji)锻炼了我的手速!现在我可以做到一秒打两个import 、3个fackyou
回复

举报

你开心就好
发表于 2023-3-20 15:06:03 来自手机 | 显示全部楼层
wwwab 发表于 2023-3-19 19:47
eset也杀了

火绒周末好像没人加特征通杀

应该是精确的吧啊哈哈哈 据我所知 很少有勒索病毒用Python(目前为止 就瑞星曝光了占整体为数不多几个样本而已)
回复

举报

mozhiwei
发表于 2023-3-20 16:17:30 | 显示全部楼层
金山毒霸miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

python无名氏
 楼主| 发表于 2023-3-20 20:07:21 | 显示全部楼层
你开心就好 发表于 2023-3-20 15:06
应该是精确的吧啊哈哈哈 据我所知 很少有勒索病毒用Python(目前为止 就瑞星曝光了占整体为数不多几个样 ...

因为python是脚本语言啦几乎所有脚本语言做终端可执行文件产品都不行,就比如python,目前编译的最好选择是pyinstaller,但他编译出的exe只能在同环境下运行,这样一来打包的意义也没了...而且这类产品往往非常容易被反编译,如果直接是vbs、bat甚至连安全感都没
比如vbs,它无论是历遍还是加密都十分出色,按理来说应该有不少勒索样本,但就是没几个因为他的代码是可以直接读取的,所有可执行文件注定有至少一个破绽,什么eval、exec函数,你这哪怕是在混淆的严重也是可以美化的,否则就会兼容性变差甚至无法运行...
回复

举报

wwwab
发表于 2023-3-20 21:50:06 | 显示全部楼层
你开心就好 发表于 2023-3-20 15:06
应该是精确的吧啊哈哈哈 据我所知 很少有勒索病毒用Python(目前为止 就瑞星曝光了占整体为数不多几个样 ...

正是因为Python从头到尾都是高含量的解释型语言,类似于脚本,所以特征才没有那么好取

你试想一下,如果要查杀恶意bat批处理,并且把del C:\Windows\System32\*.*作为字符串特征

而Python就可以写成多种算法:
你可以这么写:
os.system("del C:\Windows\System32\*.*")
你也可以这么写:
a="C:\Windows\System32\*.*"
os.system("del "+a)或者os.system("del"+" "+a)
你还可以这么写:
a="del C:\Windows\System32\*.*"
os.system(a)
再想混淆一下?没关系,这样都行:
"del"可以改成"d"+"e"+"l"或者"de"+"l"或者"d"+"el"
"C:\Windows\System32\*.*"甚至可以改成"C"+"\"...+"."+"*"
"C:/Windows/System32/*.*"甚至可以改成"C"+"/"...+"."+"*"
甚至你想这么写也可以:
path="C:/Windows/System32"
dirs=os.listdir(path)
files=[]
for file in dirs:
    if os.path.isfile(file):
        files.append(file)
        for filees in files:
            os.remove(path+"/"+filees)

然后,pyinstaller相当于是一个打包自带了Python运行库的自解压程序,理论上黑白文件相似性都是很高,如果盲目丢给AI学习,还容易导致万物杀

像上面那种,固定特征都不太好取,会导致较高的误报率

所以杀软可能会取固定短特征,比如说:
print("你中毒了,联系邮箱:xxx@xxx"),特征:xxx@xxx/虚拟货币地址/矿池/购买链接/下载url/桌面壁纸等
virus_code="shellcode"+"load"+"loader",又多个明显的特征点
其他某些语言杀软加的特征可能也有很多是这种固定短特征类型的,而且据我所知火绒的短特征有不少

Python用得少主要是因为比起其他语言有缺陷,操作不了内存,操作不了内核,操作不了指针,操作不了无响应,写窗口麻烦,而且exe必须用pyinstaller等工具打包,塞一堆Python运行库很重,基本上6MB以上起步,而且运行条件环境可能也有苛刻,云沙箱的时间限制可能释放完运行库加载完程序的主体程序没跑几秒就结束了。会能用其他语言写这种东西,他们何必要用Python
回复

举报

GDHJDSYDH
发表于 2023-3-21 15:16:10 | 显示全部楼层
MD双击kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

python无名氏
 楼主| 发表于 2023-3-21 18:24:09 | 显示全部楼层
wwwab 发表于 2023-3-20 21:50
正是因为Python从头到尾都是高含量的解释型语言,类似于脚本,所以特征才没有那么好取

你试想一下,如 ...

python并不适合做终端产品,首先是可选的编译器拉跨,其次是功能少,所以你看网上那些漏洞POC什么的都不会打包后发布...一般都是直接交换源码的但像这种病毒...不用压根不行,只能退而求其次...
回复

举报

123456
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-13 21:24 , Processed in 0.092842 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表