诡异的pe文件

OrangeCell

最近在研究杀毒软件的静态机器学习技术时发现，使用图片来进行检测恶意软件也是一种常见的手段。突发奇想，把一个图片加上pe头等pe特征，骗杀软这是一个pe文件进行扫描。结果十分意外，有很多杀软会报一个图片exe。测试样本：https://pan.huang1111.cn/s/byRqRiY，以其中的“病毒.exe”为例子，使用的是下面这一张图片。在VT中有10个杀软报毒（VirusTotal - File - 0e1c4b1a23ea90d3b7eb03ea3e7d57aa950084cb7a90ad4e046561b25e2b4468）


还有个挺好玩的，CS报别家logo图片是毒，自家的不报

z80405789

========================================
       SecureShield 病毒扫描报告
========================================

扫描类型: 自定义扫描
扫描时间: 2026-02-23 18:59:46
扫描用时: 00:00:08
扫描文件: 20 个
发现威胁: 5 个
安全文件: 15 个

----------------------------------------
检测到的威胁:
----------------------------------------

威胁名称: Advanced Threat
威胁标识: AI/Behavioral Detection
威胁类型: Advanced
威胁分类: AI/Behavior
文件路径: C:\Users\11\Desktop\新建文件夹 (2)\nyar.exe
威胁等级: High (Level=High)
检测方法: Innovative Engine
置信度: 0.90
检测时间: 2026-02-23 18:59:34
描述: 行为=Safe(2.28) | AI=High(0.90) | 证据=PTtl
详细依据:
  - 行为评估: Level=Safe | Score=2.28 | Conf=0.85
  - AI静态: Level=High | Score=0.90
  - AI决策路径: LightGBM-Clean(高置信度)
  - ML融合: Final=0.052 | Conf=0.90
  - AI指标(Top):
  - - [High] PTtl | 哈希传递 (Score=0.92)
  - - [High] p,c2 | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] eWc2 | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] Xc2"U | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] n_xC2' | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] unmc2 | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] !c2f | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] yUc2 | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] TC2U* | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] 检测到严重的频谱异常 | 频域分析 (Score=0.75)
  - - [Medium] l\C$ | 管理共享 (Score=0.50)
  - - [Medium] 极高熵值结构 (7.98) - 疑似高密度加密载荷 | 全息结构 (Score=0.50)
  - - [Medium] 频谱极度平坦 (SFM:0.85) - 疑似高密度加密载荷 | 频域分析 (Score=0.50)
  - - [Medium] 频谱能量离散 - 缺乏正常程序的周期性结构 | 频域分析 (Score=0.50)
  - - [Medium] 高频噪声主导 - 疑似随机化指令流 | 频域分析 (Score=0.50)
  - 引擎输出(节选):
  - - [行为分析] 威胁评分: 2.28
  - - [行为分析] 威胁级别: Safe
  - - [AI引擎] 威胁评分: 0.90
  - - [AI引擎] 威胁级别: High
  - - [AI引擎] 决策路径: LightGBM-Clean(高置信度)
  - - [AI引擎] PE异常: 段 .marble 高熵 (7.99)
  - - [AI引擎] 代{过}{滤}理隧道: p,c2
  - - [AI引擎] 代{过}{滤}理隧道: eWc2
  - - [AI引擎] 代{过}{滤}理隧道: Xc2"U
  - - [AI引擎] 代{过}{滤}理隧道: n_xC2'
  - - [AI引擎] AI检测判定为威胁

威胁名称: Advanced Threat
威胁标识: AI/Behavioral Detection
威胁类型: Advanced
威胁分类: AI/Behavior
文件路径: C:\Users\11\Desktop\新建文件夹 (2)\大理石.exe
威胁等级: High (Level=High)
检测方法: Innovative Engine
置信度: 0.90
检测时间: 2026-02-23 18:59:34
描述: 行为=Safe(2.28) | AI=High(0.90) | 证据=C2YF
详细依据:
  - 行为评估: Level=Safe | Score=2.28 | Conf=0.85
  - AI静态: Level=High | Score=0.90
  - AI决策路径: LightGBM-Clean(高置信度)
  - ML融合: Final=0.052 | Conf=0.90
  - AI指标(Top):
  - - [High] C2YF | 代{过}{滤}理隧道 (Score=0.75)
  - - [Medium] TzC$ | 管理共享 (Score=0.50)
  - - [Medium] D$w^ | 管理共享 (Score=0.50)
  - - [Medium] 极高熵值结构 (7.97) - 疑似高密度加密载荷 | 全息结构 (Score=0.50)
  - - [Medium] 频谱极度平坦 (SFM:0.85) - 疑似高密度加密载荷 | 频域分析 (Score=0.50)
  - - [Medium] 频谱能量离散 - 缺乏正常程序的周期性结构 | 频域分析 (Score=0.50)
  - - [Medium] %T%/ | 环境变量扩展 (Score=0.30)
  - - [Low] 段 .marble 高熵 (7.99) | PE异常 (Score=0.30)
  - - [Medium] 7zSdk3 | 压缩打包 (Score=0.25)
  - 引擎输出(节选):
  - - [行为分析] 威胁评分: 2.28
  - - [行为分析] 威胁级别: Safe
  - - [AI引擎] 威胁评分: 0.90
  - - [AI引擎] 威胁级别: High
  - - [AI引擎] 决策路径: LightGBM-Clean(高置信度)
  - - [AI引擎] PE异常: 段 .marble 高熵 (7.99)
  - - [AI引擎] 代{过}{滤}理隧道: C2YF
  - - [AI引擎] 环境变量扩展: %T%/
  - - [AI引擎] 管理共享: TzC$
  - - [AI引擎] 管理共享: D$w^
  - - [AI引擎] AI检测判定为威胁

威胁名称: Advanced Threat
威胁标识: AI/Behavioral Detection
威胁类型: Advanced
威胁分类: AI/Behavior
文件路径: C:\Users\11\Desktop\新建文件夹 (2)\大理石.jfif
威胁等级: High (Level=High)
检测方法: Innovative Engine
置信度: 0.89
检测时间: 2026-02-23 18:59:35
描述: 行为=Safe(2.28) | AI=High(0.90) | 证据==C$9
详细依据:
  - 行为评估: Level=Safe | Score=2.28 | Conf=0.85
  - AI静态: Level=High | Score=0.90
  - AI决策路径: LightGBM-Clean(高置信度)
  - ML融合: Final=0.053 | Conf=0.89
  - AI指标(Top):
  - - [Medium] =C$9 | 管理共享 (Score=0.50)
  - - [Medium] D$2HK | 管理共享 (Score=0.50)
  - - [Medium] jWC$ | 管理共享 (Score=0.50)
  - - [Medium] 极高熵值结构 (7.97) - 疑似高密度加密载荷 | 全息结构 (Score=0.50)
  - - [Medium] 频谱极度平坦 (SFM:0.85) - 疑似高密度加密载荷 | 频域分析 (Score=0.50)
  - - [Medium] 频谱能量离散 - 缺乏正常程序的周期性结构 | 频域分析 (Score=0.50)
  - - [Medium] lscp|c | 文件传输协议 (Score=0.35)
  - - [Medium] %A%OF=EM | 环境变量扩展 (Score=0.30)
  - - [Low] 无效DOS签名 | PE异常 (Score=0.30)
  - - [Medium] ?7Z`Z | 压缩打包 (Score=0.25)
  - - [Medium] 7ZbHL | 压缩打包 (Score=0.25)
  - - [Medium] q*GL7Z | 压缩打包 (Score=0.25)
  - - [Medium] 7ZTd | 压缩打包 (Score=0.25)
  - - [Medium] ~7z7 | 压缩打包 (Score=0.25)
  - - [Info] 非有效PE文件 | PE结构 (Score=0.00)
  - 引擎输出(节选):
  - - [行为分析] 威胁评分: 2.28
  - - [行为分析] 威胁级别: Safe
  - - [AI引擎] 威胁评分: 0.90
  - - [AI引擎] 威胁级别: High
  - - [AI引擎] 决策路径: LightGBM-Clean(高置信度)
  - - [AI引擎] PE结构: 非有效PE文件
  - - [AI引擎] PE异常: 无效DOS签名
  - - [AI引擎] 环境变量扩展: %A%OF=EM
  - - [AI引擎] 管理共享: =C$9
  - - [AI引擎] 管理共享: D$2HK
  - - [AI引擎] AI检测判定为威胁

威胁名称: Advanced Threat
威胁标识: AI/Behavioral Detection
威胁类型: Advanced
威胁分类: AI/Behavior
文件路径: C:\Users\11\Desktop\新建文件夹 (2)\花岗岩.exe
威胁等级: High (Level=High)
检测方法: Innovative Engine
置信度: 0.89
检测时间: 2026-02-23 18:59:37
描述: 行为=Safe(2.28) | AI=High(0.90) | 证据=CHC2|o
详细依据:
  - 行为评估: Level=Safe | Score=2.28 | Conf=0.85
  - AI静态: Level=High | Score=0.90
  - AI决策路径: LightGBM-Clean(高置信度)
  - ML融合: Final=0.053 | Conf=0.89
  - AI指标(Top):
  - - [High] CHC2|o | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] &x-C2c | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] C2~L | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] KlC2 | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] Yc2>| | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] #Ro|c2 | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] BC2SL | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] K#iC2 | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] M3c2;& | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] Ovc2 | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] 检测到严重的频谱异常 | 频域分析 (Score=0.75)
  - - [Medium] 极高熵值结构 (7.98) - 疑似高密度加密载荷 | 全息结构 (Score=0.50)
  - - [Medium] 频谱极度平坦 (SFM:0.85) - 疑似高密度加密载荷 | 频域分析 (Score=0.50)
  - - [Medium] 频谱能量离散 - 缺乏正常程序的周期性结构 | 频域分析 (Score=0.50)
  - - [Medium] 高频噪声主导 - 疑似随机化指令流 | 频域分析 (Score=0.50)
  - 引擎输出(节选):
  - - [行为分析] 威胁评分: 2.28
  - - [行为分析] 威胁级别: Safe
  - - [AI引擎] 威胁评分: 0.90
  - - [AI引擎] 威胁级别: High
  - - [AI引擎] 决策路径: LightGBM-Clean(高置信度)
  - - [AI引擎] PE异常: 段 .marble 高熵 (8.00)
  - - [AI引擎] 代{过}{滤}理隧道: CHC2|o
  - - [AI引擎] 代{过}{滤}理隧道: &x-C2c
  - - [AI引擎] 代{过}{滤}理隧道: C2~L
  - - [AI引擎] 代{过}{滤}理隧道: KlC2
  - - [AI引擎] AI检测判定为威胁

威胁名称: Advanced Threat
威胁标识: AI/Behavioral Detection
威胁类型: Advanced
威胁分类: AI/Behavior
文件路径: C:\Users\11\Desktop\新建文件夹 (2)\花岗岩.jpg
威胁等级: High (Level=High)
检测方法: Innovative Engine
置信度: 0.89
检测时间: 2026-02-23 18:59:38
描述: 行为=Safe(2.28) | AI=High(0.90) | 证据=bTc8
详细依据:
  - 行为评估: Level=Safe | Score=2.28 | Conf=0.85
  - AI静态: Level=High | Score=0.90
  - AI决策路径: LightGBM-Clean(高置信度)
  - ML融合: Final=0.053 | Conf=0.89
  - AI指标(Top):
  - - [High] bTc8 | 勒索关键词 (Score=0.92)
  - - [High] IeXY | PowerShell危险命令 (Score=0.85)
  - - [High] O6C2c | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] Iyc2` | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] n0C2 | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] 1 c29 | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] C2q: | 代{过}{滤}理隧道 (Score=0.75)
  - - [High] 检测到严重的频谱异常 | 频域分析 (Score=0.75)
  - - [Medium] \C$RjWEb | 管理共享 (Score=0.50)
  - - [Medium] umZC$ | 管理共享 (Score=0.50)
  - - [Medium] mLC$ | 管理共享 (Score=0.50)
  - - [Medium] 极高熵值结构 (7.97) - 疑似高密度加密载荷 | 全息结构 (Score=0.50)
  - - [Medium] 频谱极度平坦 (SFM:0.84) - 疑似高密度加密载荷 | 频域分析 (Score=0.50)
  - - [Medium] 频谱能量离散 - 缺乏正常程序的周期性结构 | 频域分析 (Score=0.50)
  - - [Medium] 高频噪声主导 - 疑似随机化指令流 | 频域分析 (Score=0.50)
  - 引擎输出(节选):
  - - [行为分析] 威胁评分: 2.28
  - - [行为分析] 威胁级别: Safe
  - - [AI引擎] 威胁评分: 0.90
  - - [AI引擎] 威胁级别: High
  - - [AI引擎] 决策路径: LightGBM-Clean(高置信度)
  - - [AI引擎] PE结构: 非有效PE文件
  - - [AI引擎] PE异常: 无效DOS签名
  - - [AI引擎] 代{过}{滤}理隧道: O6C2c
  - - [AI引擎] 代{过}{滤}理隧道: Iyc2`
  - - [AI引擎] 代{过}{滤}理隧道: n0C2
  - - [AI引擎] AI检测判定为威胁

========================================
             报告结束
========================================

hashcake

tis 全部翻车（

莒县小哥

卡巴不杀

WGC_ZY

ESSP不报

hashcake

360杀毒6.0 见一个杀一个

御坂14857号

avast全部双击自动传cc，全部安全

谈谈MEMZ

1. 包含非标准节名称
   
2. 标准节名称由编译器定义。非标准节名称可能表明 PE 文件已打包或混淆。
   
3. 包含高熵节
   
4. 熵是数据随机性的度量。高熵节可能表明 PE 文件已压缩或加密。
   
5. 包含无效校验和
   
6. PE 文件校验和对于驱动程序、启动时 DLL 以及其他加载到安全系统进程的 DLL 是必需的。恶意软件通常会忽略此值或将其设置为零。

复制代码

这种文件就该杀

xjwtzq

奇安信和安天都正常

superLYT

BDTS右键双击全部miss