很火的bypass技术!

显示全部楼层 · 发表于 2024-11-12 00:32:47

MrDeep 发表于 2024-11-11 19:33
目前用上了开心版，是不是除了杀毒功能之外，其余的都是能用的？

对，有的检测模块不是最新的

显示全部楼层 · 发表于 2024-11-12 09:00:56

本帖最后由 scottxzt 于 2024-11-12 09:02 编辑

玛姆库特发表于 2024-11-11 18:27
微步https://s.threatbook.com/report/file/bc16393f599fcb8c7ed77e74f3e380f0a4de1ee747047645629425d2747 ...

这玩意儿，差距这么大，一个无网络行为，一个乱链。

显示全部楼层 · 发表于 2024-11-12 09:48:21

……IDSC多久以前的技术了……RIP返回地址都没藏好，栈定位就能杀

显示全部楼层 · 发表于 2024-11-12 10:57:45

Fadouse 发表于 2024-11-11 18:57
双击S1秒杀
*确定该样本并没有破坏性行为后进行实体双击

首先确实没有恶意行为，exe原版就是7z，shellcode是自动化遍历函数找空间插进去的，shellcode是运行notepad没有做特定处理，不过在shellcode编写时添加了延时，大概是3分钟左右，目前可过所有沙箱
vt上面有杀是因为这个7z被人插的太多了，换个其它exe，vt直接全绿

显示全部楼层 · 发表于 2024-11-12 11:00:29

kaba666 发表于 2024-11-11 20:31
双击，除了CPU占用高和弹出txt，没发现其它异常行为

是的，它就做了一件事，延时，然后弹出notepad

显示全部楼层 · 发表于 2024-11-12 11:01:12

Nocria 发表于 2024-11-11 21:10
IKARUS

这个是因为7z被人插的多了，实际上换个其它exe，就过了

显示全部楼层 · 发表于 2024-11-12 11:03:41

ANY.LNK 发表于 2024-11-11 23:07
微软解压机器学习Trojan:Win32/Wacatac.B!ml

微软这个确实nb

显示全部楼层 · 发表于 2024-11-12 11:04:06

猎命师发表于 2024-11-12 11:01
这个是因为7z被人插的多了，实际上换个其它exe，就过了

再发个全绿的样本呗

显示全部楼层 · 发表于 2024-11-12 11:14:42

DisaPDB 发表于 2024-11-12 09:48
……IDSC多久以前的技术了……RIP返回地址都没藏好，栈定位就能杀

这个技术本来就简单，就是黑插白，关键在于它可以自动化，无限做全绿

显示全部楼层 · 发表于 2024-11-12 11:29:18

本帖最后由隔山打空气于 2024-11-12 12:01 编辑

Loyisa 发表于 2024-11-12 11:04
再发个全绿的样本呗

自己搜搜有工程的（

[可疑文件] 很火的bypass技术!