12
返回列表 发新帖
楼主: 啊松
收起左侧

[病毒样本] vt全绿野样本

[复制链接]
浦北光
发表于 昨天 18:17 | 显示全部楼层
ESET 扫描 miss
虚拟机被我删了懒得搞了,测测扫描算了
DisaPDB
发表于 昨天 18:18 | 显示全部楼层
xiaohuangbo 发表于 2026-4-19 18:04
已编辑,难道使用了超时大法或者虚拟机检测?我用的是hyperV虚拟机

有反沙箱检测。但是不知道为什么没有起效。
L1416: xor r14d, r14d            ; 清零,准备 CPUID
L1417: xor eax, eax
L1418: xor ecx, ecx
L1419: mov r8, rbx
L1420: cpuid                     ; 调用 CPUID(eax=0,获取厂商信息)
L1421: xchg rbx, r8             ; 保存 ebx(厂商字符串中间部分)
L1422: mov dword ptr [rbp+0x2a0], r8d   ; 存储 CPUID 结果
L1461: cmp rdi, 0xc              ; 字符串长度必须为 12
L1463: movabs rax, 0x49656e69756e6547  ; = "GenuineI"(小端)
L1464: xor rax, qword ptr [rbx]  ; 与内存中 CPUID 结果比对
L1465: mov ecx, dword ptr [rbx+8]
L1466: xor rcx, 0x6c65746e       ; = "ntel"
L1467: or rcx, rax               ; 两部分 OR,非零则非 Intel
L1468: je <pass>                  ; 匹配 Intel CPU → 继续
L1469: movabs rax, 0x69746e6568747541  ; = "Authenti"(小端)
L1470: xor rax, qword ptr [rbx]
L1471: mov ecx, dword ptr [rbx+8]
L1472: xor rcx, 0x444d4163       ; = "cAMD"
L1473: or rcx, rax
L1474: jne <abort>               ; 既不是 Intel 也不是 AMD → 终止/逃逸
啊松
 楼主| 发表于 昨天 18:18 | 显示全部楼层
swizzer 发表于 2026-4-19 16:09
怎么感觉漏了一点是我的ES没配好吗

这个样本虚拟机双击是一点反应都没有,衍生物都没释放,服了
DisaPDB
发表于 昨天 18:24 | 显示全部楼层
啊松 发表于 2026-4-19 18:18
这个样本虚拟机双击是一点反应都没有,衍生物都没释放,服了

https://qfile.qq.com/q/aoo2z6Oh5m
这里是加载的真实载荷
啊松
 楼主| 发表于 昨天 18:26 | 显示全部楼层
本帖最后由 啊松 于 2026-4-19 18:28 编辑

谢谢


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
superLYT
发表于 昨天 18:42 | 显示全部楼层
浦北光 发表于 2026-4-19 18:17
ESET 扫描 miss
虚拟机被我删了懒得搞了,测测扫描算了

其实eset扫描被过了的话也是基本上gg的
scottxzt
发表于 昨天 20:07 | 显示全部楼层
双击后过半分钟

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2026-4-20 05:03 , Processed in 0.059859 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表