Happy New Year!

显示全部楼层 · 发表于 2024-1-1 20:48:39

384也7492374 发表于 2024-1-1 20:02
好好好，拿ngav打sep是吧

SEP 有机学也是NGAV!

显示全部楼层 · 发表于 2024-1-1 21:05:16

显示全部楼层 · 发表于 2024-1-1 21:08:26

t0kenzero 发表于 2024-1-1 20:48
SEP 有机学也是NGAV!

先走的传统，拒绝加入

显示全部楼层 · 发表于 2024-1-1 22:32:16

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2024-1-1 22:58:59

蜘蛛 EMSI扫描miss
Norton

显示全部楼层 · 发表于 2024-1-1 22:59:05

本帖最后由 TimelessTT 于 2024-1-1 23:14 编辑

hansyu 发表于 2023-12-31 23:41
是双击前扫描能杀，日志显示是云端机学。双击后再手动扫描就不能杀了，重启也不行。
看来是咖啡本身的问 ...

我这也能复现
很诡异只不过现在是hti杀

我测试下离线运行exe 然后联网扫一次

绝了...的确是运行完exe就不杀了，我试了很多方式，结果都一样

显示全部楼层 · 发表于 2024-1-1 23:17:37

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2024-1-1 23:30:33

TimelessTT 发表于 2024-1-1 22:59
我这也能复现
很诡异只不过现在是hti杀

我今晚又测试一下，发现只有在那个运行过exe同一个文件夹里的dll不杀，你复制到别的文件夹里再扫就能杀……
我昨晚查看log发现应该是某些不知道的原因导致运行后同一文件夹里的dll被错误的放入已知白缓存中，而白缓存优先级最高导致手动扫描时直接读取缓存结果跳过其他检测手段，结果就是无法检出。

显示全部楼层 · 发表于 2024-1-1 23:32:55

hansyu 发表于 2024-1-1 23:30
我今晚又测试一下，发现只有在那个运行过exe同一个文件夹里的dll不杀，你复制到别的文件夹里再扫就能杀… ...

我也预感到是缓存问题，不过咖啡断网扫描也建立缓存吗...

显示全部楼层 · 发表于 2024-1-1 23:37:53

TimelessTT 发表于 2024-1-1 23:32
我也预感到是缓存问题，不过咖啡断网扫描也建立缓存吗...

所以说是错误放入，我没在Log里找到相关原因，可能跟这个样本用来绕过杀软的dll加载机制有关，正常情况下加载黑dll肯定是会被咖啡的section execute方式拦截的。

[病毒样本] Happy New Year!