【实验】相同的勒索在不同系统/指令集下安全软件的检测率和入库速度会有区别吗

神龟Turmi

877906025Z 发表于 2023-11-25 18:56
有一说一。今天是不是不上班。给卡巴发的邮件半天了没人鸟我

他们终于起床了

877906025Z

神龟Turmi 发表于 2023-11-25 22:56
他们终于起床了

那看来还不错，我是脸滚键盘把文件名全敲乱了才发的

wwwab

9:36滚键盘提交的文件

9:57，bitdefender reply

Hello,

Thank you for contacting Bitdefender Support! We have just received word from our Antimalware Laboratories on your false negative submission,

The files you have provided are infected and detection for them will be added as soon as possible.

I will close this ticket for now, but for any further questions, give us a reply and the ticket will be reopened.

神龟Turmi

wwwab 发表于 2023-11-26 10:06
9:36滚键盘提交的文件

9:57，bitdefender reply

看起来BD并没有处理windows以外平台的样本

bbszy

awsl10000次 发表于 2023-11-25 20:07
现在ESET入库了前三个vt上的eset引擎似乎并没有连接到liveguard
而且eset入库似乎也不怎么积极...
eset的 ...

我一直以为eset的变种是直接启发查出来的
搞半天也是手工入库

bbszy

神龟Turmi 发表于 2023-11-25 20:41
还有铁壳也很奇怪 过了>6小时突然冒出来个ML高置信度。。。

铁壳会参考vt上别家的检测情况

awsl10000次

bbszy 发表于 2023-11-28 00:24
我一直以为eset的变种是直接启发查出来的
搞半天也是手工入库

两个mac的样本eset云拉黑但vt上不报（很奇怪为什么vt不报毒），而且eset好像不做linux的服务？很多linux样本eset完全不入库的
有的样本似乎确实是启发，但自动也很薛定谔，
看之前大佬的分析似乎livegrid信誉检测是一层自动处理，然后提交样本又是另一种机器学习模式（livegrid云分析一个平台，但信誉检测速度更快），etdt（liveguard）又是另一种模型，这三个都过了也许就得靠手工？但eset不提供云沙箱,可能觉得这样liveguard就卖不上价了
三个不一样的，有的时候livegrid信誉标红要不扫描还不报毒，然后在信誉标红，没有云分析结果，没有特征对应的情况下才会触发勒索护盾分析...
反正就给我感觉太薛定谔了，玄学防护体系，有的时候贼强有的时候贼弱...
之前有一次有一个网站eset云拉黑，我还以为是误报，放vt就eset报，然后一个月以后也是如此（上不上可有可无于是就一直vt复扫消遣），过了足足两三个月突然发现这网站卡巴斯基还有avast，bd跟进拉黑了...就猛的一下愣住了，本来我都打算排除继续看了....

anthonyqian

awsl10000次 发表于 2023-11-28 01:14
两个mac的样本eset云拉黑但vt上不报（很奇怪为什么vt不报毒），而且eset好像不做linux的服务？很多linux ...

ESET全平台的样本都会分析的，甚至包括iOS。目前还剩两个 freebsd 和arm 64

swizzer

bbszy 发表于 2023-11-28 00:24
我一直以为eset的变种是直接启发查出来的
搞半天也是手工入库

ESET的a variant一直都不是你理解的那种“启发”；但是ESET这种说法其实是很严谨的。

ESET的启发式报法是"可能是xxx"/"未知的xxx"

wwwab

Hi Team,

Sophos Labs has reviewed your sample and have determined the following:

File states:

============
Following samples are covered under “Troj/Agent-BKJG“

ELF
c13b626e4f1d27ef1220e83c0e6a04b1e508cc50
08279fc6616a8adac0346d5e9b60dfbe9c254b81
b3c1324dc47e3ec34114b8129ab1aaa1ba42c03e
67ec42249df03ec57845c65cd3d59a4ca8ac27f4
06f7b22c7645eb74bc3e7965eb4c88c912cb116f
9079552373d2c573638d80d623b1e77086aae358

Macho
264a7608b986f2aa163ee173828d7f1d44061a54
aad142a701e8b27278477e52582d2b7e49cda1f4

555.exe (SHA1: 804faed19c0d48e8e5f68c6153c58c1d1a2ca0ff) is corrupt


This ticket will now be closed.

Sophos：这Windows端的样本损坏了吧