火绒安全软件

标题: 关于火绒误报explorer的版本追溯及可能的特征 [打印本页]
作者: 该用户不存在    时间: 2024-2-21 14:30
标题: 关于火绒误报explorer的版本追溯及可能的特征
本帖最后由 该用户不存在 于 2024-2-21 21:29 编辑

经测试 可以追溯到火绒5.0内测外泄(病毒库时间2019.05.06)
本来到这里 是证实了@www. 在qq群发的火绒在2019年就有相关特征的消息 我本来也是打算就停止了

但是 在好奇心的驱使下 我没想到的是 火绒4.0版本(4.0.45.7 病毒库2017.12.19)也可以杀了



所以会不会3.0就有这条特征了呢?


还真是。

(3.0.42.0)
(病毒库时间2016.08.01)
那么 我们直接跳到1.0 看还是不是有这条特征(这里出了点意外 1.0的公测0.9是似乎没有查杀的 至少没有自定义查杀)

(版本号1.0.38)
我的猜想 是正确的
为了减小实验误差 我又将虚拟机恢复快照后重新安装1.0仍是如此:
到这里 我们就可以明白一个事实 那就是火绒的这条特征实际上是远古时期添加的 当时的工程师估计没有料到 自己在十几年前添加的一条特征 再相逢竟是以回旋镖的形式在2024.1.12飞回来
@火绒运营专员 去问问你们的工程师心情如何















作者: huolongguo10    时间: 2024-2-21 15:12
倒不如研究下命中的特征是什么
作者: 小桑叶儿    时间: 2024-2-21 15:23
经测试 可以追溯到火绒5.0内测外泄(病毒库时间2021.05.06)

病毒库时间错了,是2019年
作者: 该用户不存在    时间: 2024-2-21 15:27
本帖最后由 该用户不存在 于 2024-2-22 16:55 编辑
huolongguo10 发表于 2024-2-21 15:12
倒不如研究下命中的特征是什么

我找个时间去研究一下
作者: 南国东东    时间: 2024-2-21 15:41
好奇问问,你是在同一个操作系统运行火绒1.0版么?
作者: haze阴霾    时间: 2024-2-21 15:43
话说火绒为何一直有这道特征码但最近才出现误杀呢
作者: 该用户不存在    时间: 2024-2-21 16:01
南国东东 发表于 2024-2-21 15:41
好奇问问,你是在同一个操作系统运行火绒1.0版么?

昂 怎么了吗
作者: 该用户不存在    时间: 2024-2-21 16:35
本帖最后由 该用户不存在 于 2024-2-21 17:32 编辑
huolongguo10 发表于 2024-2-21 15:12
倒不如研究下命中的特征是什么

好了 和hijack字符串没关系 这是肯定的 核心特征可能是360相关进程名和添加注册表启动项的行为 刚好explorer后面的代码就有 将启动项代码删了就报FakeOSApp而不是AvKiller了 应该还包含有其他的特征 不然经测试就不生效 但是没这个时间去研究了 包括在实体机也报了
作者: 南国东东    时间: 2024-2-21 16:40
该用户不存在 发表于 2024-2-21 16:01
昂 怎么了吗

你的操作系统版本是?
作者: 该用户不存在    时间: 2024-2-21 16:43
南国东东 发表于 2024-2-21 16:40
你的操作系统版本是?

win10               
作者: 南国东东    时间: 2024-2-21 16:56
该用户不存在 发表于 2024-2-21 16:43
win10

天啊!百度了!很不可思议的软件故障!
作者: huolongguo10    时间: 2024-2-23 08:43
我看网传(B站)分析的是连续出现四个360进程名,但放到文件中这四个进程名就是紧挨着的……大概360也不会这么干,而病毒检测杀软的时候基本上整个列表循环,一堆杀软进程名连着,由于国内360用的多,那个病毒可能只检测了360并杀掉
倒是没想到启动项和AvKiller有啥关系
作者: huolongguo10    时间: 2024-2-24 19:07
lz能发个样本(explore)不
作者: 文外缪朴奂    时间: 2024-2-24 19:16
差评发了一个这个https://mp.weixin.qq.com/s/cuaH6VLeulVXO0rTmbm-Kg
我看应该像是最早的版本就能杀,因为行为太像病毒了
作者: 该用户不存在    时间: 2024-2-24 19:19
本帖最后由 该用户不存在 于 2024-2-24 19:43 编辑
huolongguo10 发表于 2024-2-24 19:07
lz能发个样本(explore)不

楼主能发()但是被我搞的不成样子了()
1是我改得报毒的那个样本
2应该也是

作者: huolongguo10    时间: 2024-2-24 19:27
本帖最后由 huolongguo10 于 2024-2-24 19:30 编辑
该用户不存在 发表于 2024-2-24 19:19
楼主能发()但是被我搞的不成样子了()
1是我改得报毒的那个样本
2应该也是

谢谢
权限够高的(((
作者: 该用户不存在    时间: 2024-2-24 19:28
huolongguo10 发表于 2024-2-24 19:27
权限够高的(((

还高?一会儿我开255了
作者: 该用户不存在    时间: 2024-2-24 19:43
huolongguo10 发表于 2024-2-24 19:27
谢谢
权限够高的(((

开了         



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4