今天无聊下载了【永夜降临：复苏】的PC版，结果触发IDP主防了【ESET的BH也报了】

驭龙

如题，刚刚准备试一试这挂机小游戏好不好玩，结果IDP杀主进程和衍生物了。
这游戏的下载地址，理论上没风险，所以直接发下载地址吧
https://apks.shiyuegame.com/yyjl ... 1.0.0.1_2b698f6.exe

程序下载器被IDP阻止


衍生物也被杀了。


下载器的VT检测只有一个报毒
https://www.virustotal.com/gui/f ... c733bdae7/detection

衍生物是三个报毒
https://www.virustotal.com/gui/f ... 46945a5036a2a98c6fa

衍生物我也附上吧


这年头正常使用电脑的情况下，触发一次主防行为分析的报毒是真的不容易啊，可惜还是个误报。

当然我没有分析安装包，也不排除是真的抓到东西了
===================================================
有趣的是，我本打算去虚拟机中抓一下那临时文件的完整版，毕竟实机还是不放心，我是不是应该感谢Norton的IDP呢？

言归正传，我这次虚拟机中启用的是ESU 19内测版，带RR的最强ESET，让我惊掉下巴的是ESU居然触发BH了，报毒名是BH/EnigmaPacker.1


报的临时文件也是与实机中IDP报的是一个文件。

ESU难得一见的BH报法。


可这安装包明明是官方shiyue网站提供的啊，ESU的BH误报的概率概率并不高，因为阈值低，不然也不会没有存在感了，不过报法是EnigmaPacker，所以不大，果然还是ESET好用，报毒名就能看出文件是什么类型的威胁。

我再换一个虚拟环境试一试吧
====================================================
火绒最新版本设置最大化，ADV开启，扫描安装完成的文件夹路径，没有异常。


安装过程中，火绒监控也没有报。



看看大蜘蛛的情况去，如果大蜘蛛也没有报，我就不继续测了，反正问题不大，只是我不打算在电脑上安装这游戏了。
===================================================
我没有用大蜘蛛测试，而是改成SESC 16了，下载器无法运行，在后台卡住了，而SESC没有警报。

不过SESC云控制台显示，这个文件信誉太低，加上有ATT&CK的行为，被EDR阻止运行了。

ATT&CK 技术 Uid	ATT&CK 技术名称	ATT&CK 战术 Uid
T1204	User Execution	TA0002

这是EDR阻止的报法，果然还是EDR的记录比较详细啊。


虽然这东西风险不大，但我不准备实机完成安装了，我还是回去继续凹我的星穹铁道吧。

心醉咖啡

360扫描miss

驭龙

心醉咖啡 发表于 2025-9-14 21:25
360扫描miss

所以说avast架构不适合国内环境，误报太严重了，而且它自保中的拦截易受攻击的驱动，这个也是个误报大户，反而真的BYOVD却很少拦截

ulyanov2233

驭龙 发表于 2025-9-14 21:29
所以说avast架构不适合国内环境，误报太严重了，而且它自保中的拦截易受攻击的驱动，这个也是个误报大户 ...

安天大模型检出衍生物，根据您提供的日志，以下是我的分析和处理建议：
### **分析结论**
1. **文件类型识别**：日志中显示该文件以 `4D 5A` 开头，这是Windows可执行文件（PE文件）的标准标识，表明该文件是一个可执行程序。

2. **恶意软件检测**：最终生成的结果为 `Trojan.Win32.Bundy`，这是一个已知的木马程序家族。这意味着该文件被识别为恶意软件。

3. **可疑行为**：
   - **API调用**：日志中出现了对 `ntdll.dll` 的引用，以及函数如 `ZwOpenFile`，这些通常用于低级系统操作，可能被恶意软件用于隐藏自身或进行系统级的非法操作。
   - **文件结构异常**：文件头部包含大量未知字节（`??` 表示未知或不可打印字符），这可能是为了混淆文件结构，逃避简单的静态分析或防病毒软件的检测。


### **总结**
该文件被确认为 `Trojan.Win32.Bundy` 木马程序，具有较高的风险。建议立即采取上述措施进行隔离、清理和防护，以保障系统的安全。

驭龙

ulyanov2233 发表于 2025-9-14 21:30
安天大模型检出衍生物，根据您提供的日志，以下是我的分析和处理建议：
### **分析结论**
1. **文件类 ...

大模型报应该是因为这临时文件有调用ZwOpenFile

ulyanov2233

驭龙 发表于 2025-9-14 21:33
大模型报应该是因为这临时文件有调用ZwOpenFile

这个衍生物过不了机器学习。奇安信的机器学习也百分之百认定。黑文件基于行为序列的深度学习分析模型
恶意性        置信度        模型介绍
恶意        1.0        基于深度学习的样本动态行为智能检测引擎，通过海量样本的自动化学习，智能分析样本行为上下文关联信息，实现恶意样本及恶意家族的精准检测，智能检测引擎自动标注AI视角下样本的可疑行为片段。
基于PE文件结构深度学习分析模型
恶意性        置信度        模型介绍
恶意        0.9968191        针对PE样本文件结构信息完成恶意样本的黑白分类，基于文本使用了HAN、MalNet和DPCNN三种结构的网络进行训练，并画出样本对应的热力图。

驭龙

ulyanov2233 发表于 2025-9-14 21:36
这个衍生物过不了机器学习。奇安信的机器学习也百分之百认定。黑文件基于行为序列的深度学习分析模型
恶 ...

但看这衍生物是不可能是病毒的，除非完整下载，这不是完整文件，因为其中只有一条ZwOpenFile函数，根本不存在其他行为，要真确定是不是威胁，需要获得完整的衍生物，仅当前获取的这个临时文件是无法做出病毒行为的，只不过包含ZwOpenFile函数才被报

心醉咖啡

驭龙 发表于 2025-9-14 21:29
所以说avast架构不适合国内环境，误报太严重了，而且它自保中的拦截易受攻击的驱动，这个也是个误报大户 ...

国外杀软除了卡巴稍微好一点，其他都是严重水土不服

驭龙

心醉咖啡 发表于 2025-9-14 22:48
国外杀软除了卡巴稍微好一点，其他都是严重水土不服

万万没想到，ESET的BH也误报了，而火绒ADV都没报，果然还是国内的软件适合国内的环境啊

心醉咖啡

驭龙 发表于 2025-9-14 22:53
万万没想到，ESET的BH也误报了，而火绒ADV都没报，果然还是国内的软件适合国内的环境啊

火绒的adv感觉开了坏处大于好处，之前一段时间qq更新一个版本，扫描adv就嘎嘎乱杀qq里的文件，反馈官方解除误报下个版本又继续杀，现在不知道还会不会