本帖最后由 UNknownOoo 于 2025-5-30 13:50 编辑
ESET 以其强启发特征出名....举个最近样本区的例子吧(当然也可能有病毒作者的主观想法:比如他针对的是国内目标,免杀ESET对他来说没那么必要巴拉巴拉的...这点就暂时不考虑了)
样本区前段时间比较泛滥的某银狐变种(注入WmiApSrv.exe 后注入sihost.exe和svchost.exe的那一族),他的黑dll用了自己写的代码虚拟化壳(可能和之前VMP源码泄露有关?),然后导致其黑dll免杀性能特别好(当然现在基本已经通杀拉黑全覆盖了)
听说火绒是对标国外ESET的,就拿火绒做对比吧()
总共6个黑dll:
火绒检出情况是这样的:
- 扫描文件:6
- 发现风险:4
- 已处理风险:0
- 病毒详情:
- 风险路径:C:\Users\UnknownOoo\Downloads\WaitForAnalyze\6jOzFY.dll, 病毒名:Trojan/Obfuscated.il, 病毒ID:b45503893778fac2, 处理结果:暂不处理
- 风险路径:C:\Users\UnknownOoo\Downloads\WaitForAnalyze\22_ORIGIN.dll, 病毒名:Trojan/Obfuscated.ik, 病毒ID:435ac71885c2e26d, 处理结果:暂不处理
- 风险路径:C:\Users\UnknownOoo\Downloads\WaitForAnalyze\F8pP4.dll, 病毒名:Trojan/Obfuscated.ii, 病毒ID:d471ea9aa0ea23de, 处理结果:暂不处理
- 风险路径:C:\Users\UnknownOoo\Downloads\WaitForAnalyze\oyCY.dll, 病毒名:Trojan/Obfuscated.ig, 病毒ID:f188f905ce01649d, 处理结果:暂不处理
其中每条特征都是样本上报处理了3天才差不多憋出来的(这四条特征憋了差不多12天),其中fZZ.dll是最新的黑dll,火绒特征没有检测.
ESET检出情况是这样的:
- 2025/5/30 13:37:10
- 扫描的文件: 6
- 已检测的文件: 5
- 已清理的文件: 5
- 总扫描时间 00:00:19
- 扫描状态: 已完成
- C:\Users\UnknownOoo\Downloads\WaitForAnalyze\22_ORIGIN.dll a variant of Win64/Agent.GAP trojan cleaned by deleting
- C:\Users\UnknownOoo\Downloads\WaitForAnalyze\2M.dll a variant of Win64/Agent.GAP trojan cleaned by deleting
- C:\Users\UnknownOoo\Downloads\WaitForAnalyze\6jOzFY.dll a variant of Win64/Agent.GAP trojan cleaned by deleting
- C:\Users\UnknownOoo\Downloads\WaitForAnalyze\F8pP4.dll a variant of Win64/Agent.GAP trojan cleaned by deleting
- C:\Users\UnknownOoo\Downloads\WaitForAnalyze\fZZ.dll a variant of Win64/Agent.GAP trojan cleaned by deleting
之前火绒提取的某ShellcodeLoader特征让我瞳孔地震... : hxxps://bbs.kafan.cn/thread-2280757-1-1.html
某白patch文件逃过火绒人工分析也让我窒息.. : hxxps://bbs.huorong.cn/thread-152616-1-1.html
故以上内容可能存在主观偏向,仅供参考
|
楼主: x-天秤座
[复制链接]
发表于 2025-5-29 18:28:16
,虽然经常戏称它是“大号扫描器”
