15x（4.25）

显示全部楼层 · 发表于 2024-4-25 18:40:35

WSCS 7X
sbie双击无拦截
这玩意的APC到底有多滞后

显示全部楼层 · 发表于 2024-4-25 18:46:03

DisaPDB 发表于 2024-4-25 18:23
火绒6（高级启发关闭）扫描2x
高级启发开启扫描5x误报下来了，检测率也下来了

不是每个杀软都能做成智量那种，高检测低误报机学……，智量模型训练确实很强

显示全部楼层 · 发表于 2024-4-25 18:53:19

本帖最后由 00006666 于 2024-4-25 18:55 编辑

360联网不开本地QVM是有原因的，今天断网试了下(杀毒本地QVM)，连360卫士驱动都会被报毒

，云QVM有云白名单加持，不会很在乎误报，但是白名单没有的少见程序，各种混淆的就容易被报

显示全部楼层 · 发表于 2024-4-25 19:56:55

00006666 发表于 2024-4-25 18:53
360联网不开本地QVM是有原因的，今天断网试了下(杀毒本地QVM)，连360卫士驱动都会被报毒，云QVM有云 ...

QVM202本身就是有杀程序熵成分的

混淆得太厉害熵高了就被砍掉

显示全部楼层 · 发表于 2024-4-25 20:14:53

DisaPDB 发表于 2024-4-25 19:56
QVM202本身就是有杀程序熵成分的混淆得太厉害熵高了就被砍掉

瑞星的机学看着比ADV靠谱很多，你要不要试试，以前瑞星官人自己做了一个扫描器，但是不知道现在有没有更新

https://bbs.kafan.cn/thread-2219259-1-1.html

显示全部楼层 · 发表于 2024-4-25 20:22:54

00006666 发表于 2024-4-25 20:14
瑞星的机学看着比ADV靠谱很多，你要不要试试，以前瑞星官人自己做了一个扫描器，但是不知道现在有没有更 ...

华为7x华为今天下午少了一更，虽然一天四更也更不出效果。。。

火绒下午更新后15x

显示全部楼层 · 发表于 2024-4-25 20:25:01

本帖最后由 00006666 于 2024-4-25 20:27 编辑

1094947421 发表于 2024-4-25 20:22
华为7x华为今天下午少了一更，虽然一天四更也更不出效果。。。

那个杀软本来就不怎么行…，相比之下，火绒还是很靠谱的，而且那个全是NN神经网络报法，说明根本就没入库

显示全部楼层 · 发表于 2024-4-25 20:41:25

本帖最后由 wwwab 于 2024-4-25 20:43 编辑

00006666 发表于 2024-4-25 20:14
瑞星的机学看着比ADV靠谱很多，你要不要试试，以前瑞星官人自己做了一个扫描器，但是不知道现在有没有更 ...

瑞星那个在vt上面的那个机学没有投放入任何产品吧，只在vt有

我曾经将火绒ADV误报的样本上传vt的时候，也看到过那个引擎的误报，怎么说呢，感觉国内厂商练的机学误报的文件有些都八九不离十，一家的机学误报了另一家的机学也误报，感觉有些比较神奇的样本文件统统都会被这些机学误报的样子

X-Sec还有一些开放出来给到的，就是一些专门针对于特定类型样本的机学了
比如说那个专门检测.NET类型样本混淆器的那个rame-rdm.msil2引擎还可以
应该是有其他步骤判断确认为.NET类型样本了，才会进行匹配
不过这种.NET类型样本混淆器，火绒和华为练的机学准确率好像同样也都不低

火绒是一股脑练的，比如说一个文本文件内容像vbs脚本，但不是vbs脚本，机学也有可能会认为是恶意vbs脚本，就会报出来vbs downloader，好像还没有其他步骤去判断是否为vbs脚本；然后什么都练，练了一大堆东西，所以一开始刚出来的模型有一些误报得比较离谱的情况

显示全部楼层 · 发表于 2024-4-25 21:04:34

金山毒霸扫出7个晚上9点三分测试

显示全部楼层 · 发表于 2024-4-25 21:13:39

本帖最后由 DisaPDB 于 2024-4-25 21:17 编辑

00006666 发表于 2024-4-25 20:14
瑞星的机学看着比ADV靠谱很多，你要不要试试，以前瑞星官人自己做了一个扫描器，但是不知道现在有没有更 ...

X门！
不过X-Sec的ML也不是VT上那个完全体貌似，完整的他们甚至连RDM+都没下放过就我能看到的那类报法更类似于决策树那种，精度高但是覆盖面小

[病毒样本] 15x（4.25）

本帖子中包含更多资源