使用多个 md5修改工具,修改入库病毒后,发现 一部分病毒,瑞星无法查杀,但是却还是能杀一部分
文件:C:\Users\chenxi\Desktop\1.exe
大小:1083112 字节
修改时间:2016/10/28 22:09:44
MD5:BE69B812D831A91BA5DB3C73641217DA
CRC32:135E0984
SHA1:9A366CA77242EBB4B1DB799ECD27DFE06F73969A
文件:C:\Users\chenxi\Desktop\样本 - 副本\1.exe
大小:1084186 字节
修改时间:2016/12/25 7:21:19
MD5:EC79437216267C073AA06E46039E4AC9
CRC32:1AE4CF83
SHA1:4EAC9EFA9A82EA7437D4ACFF920D094FAFF2C703
上面的 两个 样本实际上是同一个样本 ,
1.exe 是 没有修改 md5的 源文件, 而 \样本 - 副本\1.exe是 修改 md5后的 文件,
发现只要修改 md5后 ,随之 sha1 值 也会自动改变!!!--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
文件:C:\Users\chenxi\Desktop\2.exe
大小:1768448 字节
修改时间:2016/10/30 19:05:14
MD5:1ABE2A7EB9E90F339967B366A3A045F0
CRC32:1BEB2CE5
SHA1:7AC7B658EB69391F2EC7BF6AF69506D725F4EBAA
文件:C:\Users\chenxi\Desktop\样本 - 副本\2.exe
大小:1769522 字节
修改时间:2016/12/25 7:21:23
MD5:5A8EE80461DE92CAC0DFC16DF7DCE4A9
CRC32:C448C487
SHA1:E3E980FA179D64433FDA429707AC4D4391D2BC9B
上面的 两个 样本实际上是同一个样本 ,
2.exe 是 没有修改 md5的 源文件, 而 \样本 - 副本\2.exe是 修改 md5后的 文件,
发现只要修改 md5后 ,随之 sha1 值 也会自动改变!!!
换句话说 ,就是 云引擎使用了 sha1 值 来 作为特征入库 , 若 使用 md5工具 修改 md5值后 , 一样能免杀 云引擎 ,因为 sha1 也相应变化了!!!
第二个问题就是 :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
我发现了 几个 md5工具 ,若使用 这些工具 修改了样本 后,
发现瑞星 有一部分 样本 ,就被免杀了 ,但是 也能杀掉一部分 ,这是什么鬼?》??
测试样本 ,原文件 ,没有修改过的 文件
http://pan.baidu.com/s/1nv0NBL3
用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 UBrowser/6.0.1121.13 Safari/537.36