1   1  /  1  页   跳转

云分析系统的巧用?

云分析系统的巧用?

昨天我收集了病毒
然后加花
加花后的样本基本不能查杀于是我想到了个坏主意
用7Z压缩后上报
首先要说一下7Z的原理
7Z和RAR不同的地方在于
7Z会吧要压缩的文件中挑选一个并作为母体吧其他的文件数据也当母体的一部分来压缩,所以对待变种的时候很有效,因为变种通常都有很大一部分是相同的所以重复压缩的压缩比就很高了。
反过来相同的地方被压缩也就是说云分析的过程中如果不解压7Z那么提取的特征码就会很有可能对这些变种都有效。换句话说就是相当于加了GEN而且这种GEN是全自动的不要人参与。可以大大提高分析能力对免杀的效果也更好。
举个例子
RS20090805030429281711
这个编号大家不妨查询下
我上报的就是7Z
这个包解压开的话其实是有16m的
我在解压后扫描下

发现24个病毒 2个遗漏
但是那24个病毒全是报告的一个名字这说明了什么?
这些样本都是我做出来的
昨天上报前是一个也杀不出可是现在可以杀了这么多
说明了云系统提取的一个特征码对这24个文件都有效,那么别的免杀是不是也可以呢?TDSS,等需要加基因的样本我想更是这样。
现在还遗漏的2个文件我在上报看看。看看回复的什么就知道是不是这样了
如果是的,那么以后就有福了

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)
分享到:
gototop
 

回复:云分析系统的巧用?

该用户帖子内容已被屏蔽
致力于社会主义思想体系创建与信息产业国产或开源利用化……
gototop
 

回复:云分析系统的巧用?

2次上报的文件编号是RS20090806020213093233
明天大家查查
如果结果是病毒文件那么这个实验就成功了
如果显示是安全文件
那就当我什么都没说
gototop
 

回复: 云分析系统的巧用?



引用:
原帖由 太行定一方风云 于 2009-8-6 2:08:00 发表
这个个……

 

你想表达什么?
gototop
 

回复: 云分析系统的巧用?

基本可以确定是这样了不信等会我在试验下

这个文件时昨天加花的时候上报的
这个并没有在SSS.7Z中
可是今天拿出来在扫描一下病毒名已经变成前面7Z分析的病毒名了

这就是变种GEN的威力
等会我再做一点单独测试看看
gototop
 

回复:云分析系统的巧用?

1、7Z格式目前瑞星可查
2、RAR中创建固实压缩包可减少压缩率
gototop
 

回复: 云分析系统的巧用?



引用:
原帖由 hymwxm 于 2009-8-6 3:21:00 发表
1、7Z格式目前瑞星可查
2、RAR中创建固实压缩包可减少压缩率

云分析不解压就可以了
2固实的RAR没事过不过相信没有7Z压缩率高
7Z对于有的样本可以压缩到3%甚至更低
这点RAR是怎么也做不到的
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT