vt全绿野样本

浦北光

ESET 扫描 miss
虚拟机被我删了懒得搞了，测测扫描算了

DisaPDB

xiaohuangbo 发表于 2026-4-19 18:04
已编辑，难道使用了超时大法或者虚拟机检测？我用的是hyperV虚拟机

有反沙箱检测。但是不知道为什么没有起效。
L1416: xor r14d, r14d            ; 清零，准备 CPUID
L1417: xor eax, eax
L1418: xor ecx, ecx
L1419: mov r8, rbx
L1420: cpuid                     ; 调用 CPUID（eax=0，获取厂商信息）
L1421: xchg rbx, r8             ; 保存 ebx（厂商字符串中间部分）
L1422: mov dword ptr [rbp+0x2a0], r8d   ; 存储 CPUID 结果
L1461: cmp rdi, 0xc              ; 字符串长度必须为 12
L1463: movabs rax, 0x49656e69756e6547  ; = "GenuineI"（小端）
L1464: xor rax, qword ptr [rbx]  ; 与内存中 CPUID 结果比对
L1465: mov ecx, dword ptr [rbx+8]
L1466: xor rcx, 0x6c65746e       ; = "ntel"
L1467: or rcx, rax               ; 两部分 OR，非零则非 Intel
L1468: je <pass>                  ; 匹配 Intel CPU → 继续
L1469: movabs rax, 0x69746e6568747541  ; = "Authenti"（小端）
L1470: xor rax, qword ptr [rbx]
L1471: mov ecx, dword ptr [rbx+8]
L1472: xor rcx, 0x444d4163       ; = "cAMD"
L1473: or rcx, rax
L1474: jne <abort>               ; 既不是 Intel 也不是 AMD → 终止/逃逸

啊松

swizzer 发表于 2026-4-19 16:09
怎么感觉漏了一点是我的ES没配好吗

这个样本虚拟机双击是一点反应都没有，衍生物都没释放，服了

DisaPDB

啊松 发表于 2026-4-19 18:18
这个样本虚拟机双击是一点反应都没有，衍生物都没释放，服了

https://qfile.qq.com/q/aoo2z6Oh5m
这里是加载的真实载荷

啊松

DisaPDB 发表于 2026-4-19 18:24
https://qfile.qq.com/q/aoo2z6Oh5m
这里是加载的真实载荷

谢谢

superLYT

浦北光 发表于 2026-4-19 18:17
ESET 扫描 miss
虚拟机被我删了懒得搞了，测测扫描算了

其实eset扫描被过了的话也是基本上gg的

scottxzt

双击后过半分钟