可疑文件

显示全部楼层 · 发表于 2023-12-8 17:28:34

本帖最后由 dght432 于 2023-12-8 17:37 编辑

https://pan.huang1111.cn/s/n51nFm

感觉不太像损坏了的，因为删除xml后没看到释放文件，没删能看到释放文件

显示全部楼层 · 发表于 2023-12-8 17:34:32

本帖最后由 DisaPDB 于 2023-12-8 17:37 编辑

那俩exe应该都是shellcode加载器

360拉黑了jpg（看不懂）和xml（疑似shellcode）……？

显示全部楼层 · 发表于 2023-12-8 17:52:46

金山毒霸kill 2x

显示全部楼层 · 发表于 2023-12-8 18:53:42

天守：0

两个程序均被阻止运行

显示全部楼层 · 发表于 2023-12-8 19:50:39

显示全部楼层 · 发表于 2023-12-9 02:11:06

EIS kill 3x
病毒吧吧主第一次上报卡巴结果鉴定师认定clean，第二次上报鉴定师表示xml文件损坏

显示全部楼层 · 发表于 2023-12-9 08:34:27

GDHJDSYDH 发表于 2023-12-9 02:11
EIS kill 3x
病毒吧吧主第一次上报卡巴结果鉴定师认定clean，第二次上报鉴定师表示xml文件损坏

所以我想看看卡饭有没有人再上报一下看看，感觉不像坏了的

显示全部楼层 · 发表于 2023-12-9 10:07:31

dght432 发表于 2023-12-9 08:34
所以我想看看卡饭有没有人再上报一下看看，感觉不像坏了的

那个xml目前只有BD系报毒而且是.Gen开头，360拉黑没有解除，不像误报

显示全部楼层 · 发表于 2023-12-9 16:11:59

本帖最后由 wwwab 于 2023-12-9 16:37 编辑

xml只是分离式ShellCode，需要加载器还原解码解密之后才能带来威胁，通常是直接内存加载，一般认为可杀可不杀（分离式ShellCode白加黑，部分防病毒软件有些时候是处理黑dll，有些时候是处理分离式ShellCode，有些时候是都处理。一般认为黑dll是一定是要处理的），一般是好加特征/特征明显/加了之后有用/方便查杀该家族/没有黑dll直接利用白数字签名exe加载的情况下才会杀，或者是hash拉黑。脱离了加载器就是无用字符串，但是加载器还原解码解密之后可能会有Payload

而且这种分离式ShellCode理论上可以是任意拓展名，一般通常来说防病毒软件的文件实时监控也不会管，重点都是监控exe和dll

不过有些时候如果一个加载器只有还原解码解密加载ShellCode的功能模块，没有其他类似于持久化的功能模块，查杀率可能不高，但是没有实际功效

显示全部楼层 · 发表于 2023-12-9 19:52:52

蜘蛛扫描miss

EMSI

[病毒样本] 可疑文件

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源