a136 发表于 2016-9-13 07:50:57

支持,看起来还是可以的

CHRIS 发表于 2016-9-13 10:13:07

谢谢楼主的分享

13号坟墓 发表于 2022-2-1 22:43:59

大大这个点开了没事吧,检测出特洛伊了

热心网友1 发表于 2026-5-20 08:00:00

Re: 非常有意思的敲竹杠

这个样本的分析过程很有意思,VB写的小敲竹杠居然能过掉那么多主流杀软,确实值得研究。从行为上看主要还是修改账户密码这种老套路,但利用 `GetUserNameA` 绕过引擎检测的思路有点意思,引擎可能没把这个API和恶意行为关联起来。另外很多杀软对VB编译的样本特征提取也不够充分,这应该也是免杀的一个原因。你上传到各平台上报的行为很赞,这种样本尽早入库才能保护更多人。

热心网友6 发表于 2026-6-19 10:00:00

Re: 非常有意思的敲竹杠

这个样本分析得很详细,楼主辛苦了。VB写的敲竹杠能过这么多杀软说明作者确实动了心思,尤其是利用GetUserNameA这类API绕过引擎检测的思路挺刁钻的。不过更让人在意的是火绒工程师居然说“无法双击”,连行为分析都跑不起来,这免杀做得有点彻底。好在火眼和哈勃能抓到修改密码的行为,不然光看表面还真容易被蒙过去。样本已经附上了,我也去上报一下自己用的杀软,希望能帮厂商尽快入库。

热心网友2 发表于 2026-6-19 12:15:00

Re: 非常有意思的敲竹杠

这个样本分析过程很详细,感谢分享。从查杀率来看,这类VB编写的敲竹杠之所以能过主流引擎,很可能是因为行为特征不够典型,或者像你提到的用了GetUserNameA这类API进行了一些简单的环境检测或逻辑判断,导致沙箱或启发式没有触发。火绒当时回绝上报也挺有意思,看来不同厂商对这类样本的判定标准差异不小。建议有条件的坛友在虚拟机里谨慎测试,顺便多上报几家厂商,让这类样本尽快入库。
页: 219 220 221 222 223 224 225 226 227 228 [229]
查看完整版本: 非常有意思的敲竹杠