云分析系统的巧用?
昨天我收集了病毒
然后加花
加花后的样本基本不能查杀于是我想到了个坏主意
用7Z压缩后上报
首先要说一下7Z的原理
7Z和RAR不同的地方在于
7Z会吧要压缩的文件中挑选一个并作为母体吧其他的文件数据也当母体的一部分来压缩,所以对待变种的时候很有效,因为变种通常都有很大一部分是相同的所以重复压缩的压缩比就很高了。
反过来相同的地方被压缩也就是说云分析的过程中如果不解压7Z那么提取的特征码就会很有可能对这些变种都有效。换句话说就是相当于加了GEN而且这种GEN是全自动的不要人参与。可以大大提高分析能力对免杀的效果也更好。
举个例子
RS20090805030429281711这个编号大家不妨查询下
我上报的就是7Z
这个包解压开的话其实是有16m的
我在解压后扫描下
发现24个病毒 2个遗漏
但是那24个病毒全是报告的一个名字这说明了什么?
这些样本都是我做出来的
昨天上报前是一个也杀不出可是现在可以杀了这么多
说明了云系统提取的一个特征码对这24个文件都有效,那么别的免杀是不是也可以呢?TDSS,等需要加基因的样本我想更是这样。
现在还遗漏的2个文件我在上报看看。看看回复的什么就知道是不是这样了
如果是的,那么以后就有福了
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)