银狐远控变MD5

显示全部楼层 · 发表于 2023-12-21 15:05:41

本帖最后由 GreatMOLA 于 2023-12-21 15:08 编辑

Check Point

显示全部楼层 · 发表于 2023-12-21 15:11:30

本帖最后由 DisaPDB 于 2023-12-21 15:19 编辑

wowocock 发表于 2023-12-21 15:02
你说反了，360是非白即黑策略，对360无效。

这个非白即黑是字面意义上的吗360 扫描miss 双击拉黑报法

显示全部楼层 · 发表于 2023-12-21 16:13:19

DisaPDB 发表于 2023-12-21 15:11
这个非白即黑是字面意义上的吗360 扫描miss 双击拉黑报法

扫描MISS是没拉黑，双击报毒是触发了行为报警。

显示全部楼层 · 发表于 2023-12-21 16:23:24

本帖最后由 hhjjjjjj123 于 2023-12-21 16:31 编辑

wowocock 发表于 2023-12-21 15:02
你说反了，360是非白即黑策略，对360无效。

扫描不是吧

只能说主动防御有点这个意思，而且这个黑与白的界定有时候是概率性猜测，要不然也不会有修改文件名称就不报了

不是像eset那样报出精准的毒名

显示全部楼层 · 发表于 2023-12-21 16:55:13

hhjjjjjj123 发表于 2023-12-21 16:23
扫描不是吧只能说主动防御有点这个意思，而且这个黑与白的界定有时候是概率性猜测，要不然也不会有 ...

我所说的非白即黑，指启动项里扫描逻辑。不是常规的你下载下来扫描。因为一般的木马总得常驻，除了勒索这种一锤子买卖。比如这个远控木马就会写开机的计划任务来每次开机加载。

显示全部楼层 · 发表于 2023-12-21 17:07:16

wowocock 发表于 2023-12-21 16:13
扫描MISS是没拉黑，双击报毒是触发了行为报警。

原来trojan.generic扫描和双击的定义不一样吗

显示全部楼层 · 发表于 2023-12-21 17:11:27

本帖最后由 t0kenzero 于 2023-12-21 17:21 编辑

DI

Cy

显示全部楼层 · 发表于 2023-12-21 18:53:45

本帖最后由嘿嘿不能说于 2023-12-21 20:32 编辑

来晚了，天守阻止白程序启动

原因似乎是因为添加自启动

等等，这玩意似乎还需要其他条件才能启动？？？？？？不然会出错？？？？？？（指定路径？部件？或者其他？）

这两个玩意还有真正的上级，他们只是其中的两个衍生物

显示全部楼层 · 发表于 2023-12-21 19:18:13

wowocock 发表于 2023-12-21 16:55
我所说的非白即黑，指启动项里扫描逻辑。不是常规的你下载下来扫描。因为一般的木马总得常驻，除了勒索这 ...

之前扫描那些膨胀过的stealer无法检出，双击就会报Trojan.Generic，也是行为杀是吧

显示全部楼层 · 发表于 2023-12-21 21:43:20

[病毒样本] 银狐远控变MD5