Stealer窃密木马一枚

superLYT

SEP KILL

心醉咖啡

金山毒霸

驭龙

hansyu 发表于 2024-12-3 22:51
虽然我今年元旦到现在一直都在用ESSP没换过，但最近这两月不怎么测样本，而且如果有人已经先测ESET能杀的 ...

https://bbs.kafan.cn/thread-2276600-1-1.html

这三个样本，我刚刚测试，解压以后监控根本没有识别，也就是说augur机学是无法识别的，我这边已经拉满最高级别检测。

我的设置，特征库误打误撞刚刚好是1号当天的库，所以刚刚好

但ELG杀了，可augur是本地报法，优先级高于ELG，换句话说，如果是EIS确实是无法查杀，根本无法触发augur机学
都是ELG杀，并未触发augur机学




都不是实时监控杀


特征库和功能模块

检测引擎;30309P;2024/12/1
快速响应模块;25392P;2024/12/1
更新模块;1041;2024/6/10
病毒和间谍软件防护扫描程序模块;1620;2024/11/28
高级启发式扫描模块;1229;2024/6/10
压缩文件支持模块;1354;2024/11/25
清除器模块;1252;2024/9/19
反隐藏支持模块;1195;2024/10/17
防火墙模块;1452;2024/11/8
翻译支持模块;2026;2024/11/26
HIPS 支持模块;1484;2024/11/19
Internet 防护模块;1486;2024/11/8
高级反垃圾邮件模块;7982;2024/11/28
数据库模块;1129;2024/11/21
配置模块;2160D;2024/11/22
Direct Cloud 通信模块;1141;2024/11/27
浏览器防护模块;1366;2024/11/18
Rootkit 检测和清除模块;1034;2024/11/6
网络防护模块;1698;2024/5/15
网络检查器模块;1050;2024/9/4
加密协议支持模块;1090;2024/11/20
高级垃圾邮件防护模块数据库;11317P;2024/12/1
深度行为检测支持模块;1179;2024/11/18
高级机器学习模块;1165;2024/11/28
遥测模块;1067;2024/11/6
安全中心集成模块;1041;2024/6/24

ジ蓅暒划过づ

驭龙 发表于 2024-12-3 23:43
https://bbs.kafan.cn/thread-2276600-1-1.html
这三个样本，我刚刚测试，解压以后监控根本没有识别，也就 ...

那这奇怪了。。

驭龙

ジ蓅暒划过づ 发表于 2024-12-4 00:01
那这奇怪了。。

https://bbs.kafan.cn/thread-2276533-1-1.html
这些也没有augur杀

一个入库


一个ELG杀


另外两个扫描直接miss

ジ蓅暒划过づ

驭龙 发表于 2024-12-4 00:04
https://bbs.kafan.cn/thread-2276533-1-1.html
这些也没有augur杀

难怪我的没反应

驭龙

ジ蓅暒划过づ 发表于 2024-12-4 00:06
难怪我的没反应

所以不是你的ESET问题，我这边新安装的ESSP最新版都没有触发augur机学杀

ジ蓅暒划过づ

驭龙 发表于 2024-12-4 00:07
所以不是你的ESET问题，我这边新安装的ESSP最新版都没有触发augur机学杀

那这测试怎么回事。。

驭龙

ジ蓅暒划过づ 发表于 2024-12-4 00:10
那这测试怎么回事。。

不知道，但那位饭友测试是有截图的，他那边的ESET确实是augur杀，所以想不通，目前不清楚原因

hansyu

驭龙 发表于 2024-12-4 00:04
https://bbs.kafan.cn/thread-2276533-1-1.html
这些也没有augur杀

全入库了啊
R:\TestBox\olkmg.msi;Win64/Agent.EXB 特洛伊木马 的变量;已删除;
R:\TestBox\ogjr3.msi;Win64/Agent.EXB 特洛伊木马 的变量;已删除;
R:\TestBox\oefgh.msi;Win64/Agent.EXB 特洛伊木马 的变量;已删除;
R:\TestBox\q1008723333.899v77621192.19.exe;Win64/Agent.DML.gen 特洛伊木马 的变量;已通过删除清除;