应该是恶意来着

swizzer

嘿嘿不能说 发表于 2023-12-21 22:57
好像06说过这种HEUR的是机器学习（QVM）检出的？

不过说都是拉黑也没问题（

QVM先检出后然后跟进的云拉黑报法吗？
我以后观察一下

DisaPDB

swizzer 发表于 2023-12-21 23:06
QVM先检出后然后跟进的云拉黑报法吗？
我以后观察一下

一般来讲好像先云机学拦截（HEUR/QVM）最先出现，然后才会下发稳定特征的报法吧？
这个heur我直接理解成heuristic了……不过好像改hash后真的不报了（）

拉黑的话，之前一直以为本地是鲲鹏的[G-VirusName.xxxxxx]，云端是Trojan.Generic来着

嘿嘿不能说

DisaPDB 发表于 2023-12-22 06:56
一般来讲好像先云机学拦截（HEUR/QVM）最先出现，然后才会下发稳定特征的报法吧？
这个heur我直接理解成 ...

你改了hash之后，会被当成新文件重新上传到云检测的，因为云端没有这个hash的记录，你再扫一下看看有没有报，或者在上报区看看有没有出结果？

时间有限，我自己稍微试了一下





使用的是hez2010制作的MD5 Modifier

UNknownOoo

swizzer 发表于 2023-12-21 23:06
QVM先检出后然后跟进的云拉黑报法吗？
我以后观察一下

似乎并不是，如果是QVM 先检出后云分析拉黑的报法（拉黑类似于Win32/Trojan.Generic.xxxxxx），修改hash后样本应该重新报QVM再过一遍云分析...但这个样本修改hash后QVM就直接不报了（似乎也没有触发自动上传...？）

嘿嘿不能说

swizzer 发表于 2023-12-21 23:06
QVM先检出后然后跟进的云拉黑报法吗？
我以后观察一下

（悲）





#Downloader #Stealer
https://bbs.kafan.cn/thread-2263939-1-1.html
(出处: 卡饭)

这个帖子里的gtqphuqfwp.exe，初始是Heur，之后有了具体的毒名



修改后



最终



找到了一个初始是Heur之后没有变化过的：#Ransom #Flystudio
https://bbs.kafan.cn/thread-2263728-1-1.html
(出处: 卡饭)

修改后



云端自动机检测到威胁，立马拉黑



最终

DisaPDB

UNknownOoo 发表于 2023-12-22 08:06
似乎并不是，如果是QVM 先检出后云分析拉黑的报法（拉黑类似于Win32/Trojan.Generic.xxxxxx），修改hash ...

云鉴定拉黑一般都是winxx/trojan.generic开头（？），如果触发自动上报后自动机没跑出结果，样本会被移交给分析师再次鉴定然后再下发所以有些样本云鉴定miss但是秒速拉黑的不一定是有人在蹲论坛（）

DisaPDB

嘿嘿不能说 发表于 2023-12-22 07:21
你改了hash之后，会被当成新文件重新上传到云检测的，因为云端没有这个hash的记录，你再扫一下看看有没有 ...

但是QVM开头的是本地QVM报法吧

嘿嘿不能说

DisaPDB 发表于 2023-12-22 10:01
但是QVM开头的是本地QVM报法吧

见13楼

至少可以证明我

好像06说过这种HEUR的是机器学习（QVM）检出的？

这句话是错误的（悲）

这个是比较奇怪的点，一般处于联网状态下的时候本地QVM是不起作用的，不知道是什么其他的问题

后来又改了一次，再测就出了云端QVM报法，最终得到的结果是一样的，所以就没有继续上图

不过在附加一句，除了那些永远都是Trojan.Generic报法的东西，其他的（已经能够检测到的）想通过修改MD5绕过360查杀（自动机）的可能性都是很低的（猜测/存疑/未验证）

DisaPDB

嘿嘿不能说 发表于 2023-12-22 10:14
见13楼

至少可以证明我

因为他们本地机学误报太高了，官方都不推荐开启的引擎肯定会被边缘化……之前UnknownOoo有说过Trojan.Generic是人工拉黑，后面测试的时候该报法改hash检测后有部分直接过，部分改为云机学报法，所以这个报法应该不止一种分析手法
附加一个帖子链接
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2261598&page=1

yaokai815

金山毒霸miss