楼主: swizzer
收起左侧

[病毒样本] Happy New Year!

  [复制链接]
t0kenzero
发表于 2024-1-1 20:48:39 | 显示全部楼层
384也7492374 发表于 2024-1-1 20:02
好好好,拿ngav打sep是吧

SEP 有机学也是NGAV!
784696777
发表于 2024-1-1 21:05:16 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
Hibike + 1

查看全部评分

384也7492374
发表于 2024-1-1 21:08:26 | 显示全部楼层
t0kenzero 发表于 2024-1-1 20:48
SEP 有机学也是NGAV!

先走的传统,拒绝加入
kaisenchen
头像被屏蔽
发表于 2024-1-1 22:32:16 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
hhhq316
头像被屏蔽
发表于 2024-1-1 22:58:59 | 显示全部楼层
蜘蛛 EMSI扫描miss
Norton

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
Hibike + 1

查看全部评分

TimelessTT
发表于 2024-1-1 22:59:05 | 显示全部楼层
本帖最后由 TimelessTT 于 2024-1-1 23:14 编辑
hansyu 发表于 2023-12-31 23:41
是双击前扫描能杀,日志显示是云端机学。双击后再手动扫描就不能杀了,重启也不行。
看来是咖啡本身的问 ...

我这也能复现
很诡异 只不过现在是hti杀

我测试下离线运行exe 然后联网扫一次

绝了...的确是运行完exe就不杀了,我试了很多方式,结果都一样
ceshiyixiaxia
头像被屏蔽
发表于 2024-1-1 23:17:37 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
hansyu
发表于 2024-1-1 23:30:33 | 显示全部楼层
TimelessTT 发表于 2024-1-1 22:59
我这也能复现
很诡异 只不过现在是hti杀

我今晚又测试一下,发现只有在那个运行过exe同一个文件夹里的dll不杀,你复制到别的文件夹里再扫就能杀……
我昨晚查看log发现应该是某些不知道的原因导致运行后同一文件夹里的dll被错误的放入已知白缓存中,而白缓存优先级最高导致手动扫描时直接读取缓存结果跳过其他检测手段,结果就是无法检出。

评分

参与人数 1人气 +1 收起 理由
Hibike + 1

查看全部评分

TimelessTT
发表于 2024-1-1 23:32:55 | 显示全部楼层
hansyu 发表于 2024-1-1 23:30
我今晚又测试一下,发现只有在那个运行过exe同一个文件夹里的dll不杀,你复制到别的文件夹里再扫就能杀… ...

我也预感到是缓存问题,不过咖啡断网扫描也建立缓存吗...
hansyu
发表于 2024-1-1 23:37:53 | 显示全部楼层
TimelessTT 发表于 2024-1-1 23:32
我也预感到是缓存问题,不过咖啡断网扫描也建立缓存吗...

所以说是错误放入,我没在Log里找到相关原因,可能跟这个样本用来绕过杀软的dll加载机制有关,正常情况下加载黑dll肯定是会被咖啡的section execute方式拦截的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-1 16:17 , Processed in 0.097580 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表