【加密测试】llvm翻译Java加密当前目录下所有文件

显示全部楼层 · 发表于 2023-6-21 16:23:45

本来想测试杀软是否会对恶意的 java 可执行文件进行检测，于是写了一个加密当前目录下所有非 class、jar文件的Java程序，用llvm转换成了 exe image（win_x64），无论是 java 运行还是 exe 运行都没有问题，也发出来给大家试试，也许这种算不上病毒？请教巨佬们，这种检测一般的原理是什么？
注意：暂时没有写解锁器，大家慎点，仅供测试

附上链接：https://wwwl.lanzouw.com/iTVxm0zo9uwb

哈勃：https://habo.qq.com/file/showdet ... Gb11kB2YIOFs8U2Q%3D
virscan： https://www.virscan.org/report/0 ... 51f9e0f1eb5ffedb664

显示全部楼层 · 发表于 2023-6-21 16:26:18

卡巴miss，实体机，就不双击了

显示全部楼层 · 发表于 2023-6-21 16:34:35

本帖最后由 km_xyx 于 2023-6-21 16:35 编辑

WD miss

微步判断安全
https://s.threatbook.com/report/ ... 51f9e0f1eb5ffedb664

显示全部楼层 · 发表于 2023-6-21 16:41:06

EMSI 蜘蛛诺顿扫描miss

显示全部楼层 · 发表于 2023-6-21 16:58:23

瑞星云终端miss

显示全部楼层 · 发表于 2023-6-21 17:22:34

卡pdm检测，无文件被加密。
事件: 检测到恶意对象
应用程序: App.exe
用户: DESKTOP-DQJ0HTT\lybing
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\lybing\Desktop\App.exe
对象名称: App.exe
原因: 行为分析
数据库发布日期: 2023/6/18 22:22:00
MD5: DA70577BF9494251299E3EF5B38B1339

显示全部楼层 · 发表于 2023-6-21 18:00:48

火绒 miss

显示全部楼层 · 发表于 2023-6-21 18:09:50

本帖最后由风雷max 于 2023-6-21 18:11 编辑

只加密当前目录的话感觉算不算病毒都行啊。

至少要遍历目录才有病毒的感觉吧，或者加密关键目录。

平时用户很少会专门复制到文档所在目录运行吧。

显示全部楼层 · 发表于 2023-6-21 18:11:40

金山毒霸miss

显示全部楼层 · 发表于 2023-6-21 18:13:38

风雷max 发表于 2023-6-21 18:09
只加密当前目录的话感觉算不算病毒都行啊。
至少要遍历目录才有病毒的感觉吧，或者加密关键目录。
...

还在公司，晚点再改一版测试下

[病毒样本] 【加密测试】llvm翻译Java加密当前目录下所有文件

本帖子中包含更多资源