[讨论]只是改了个文件名，卡巴就不报了……-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]只是改了个文件名，卡巴就不报了……

2009-2-20 13:28 13192

[讨论]只是改了个文件名，卡巴就不报了……

yinX

2009-2-20 13:28

13192

附件里的文件，是一个EXE
用卡巴（我用的是卡巴7）扫描，是不报的，
但如果把名字由00031742_L3.exe改成00031743_L3.exe,卡巴就报了，文件内容是完全一样的

我百思不得其解

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

上传的附件：

00031742_L3.rar （80.94kb，64次下载）

收藏・4

点赞・0

打赏

最新回复 (30) 1 2 ▶
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 2009-2-20 14:38 2 楼 0 说明了？？？
yinX 雪币： 377 活跃值： (427) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 119 粉丝 1 关注私信	yinX 2 2009-2-20 15:04 3 楼 0 我也不知道为什么会这样，我是来求解的不知道大家的机器上有没有这种情况。
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2009-2-20 15:21 4 楼 0 这个是卡巴特有的扫描算法呵呵。
yinX 雪币： 377 活跃值： (427) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 119 粉丝 1 关注私信	yinX 2 2009-2-20 17:29 5 楼 0 我还以为根据文件名来判断病毒是智慧星独创的呢
wztuxw 雪币： 131 活跃值： (181) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 2009-2-21 14:49 6 楼 0 这个00031743_L3名字符合某个卡巴的病毒特征！！所以它就报了误报很正常，但是误报率很高的的话就不正常了。
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 221 粉丝 0 关注私信	dayed 1 2009-2-21 16:41 7 楼 0 宁可错杀一千，也不能放过一个
xiaoAngel 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	xiaoAngel 2009-2-21 23:47 8 楼 0 这是某些杀毒软件走的路线。
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 613 粉丝 0 关注私信	nkspark 3 2009-2-21 23:58 9 楼 0 嗯，其实很好理解。就在你改名字这段时间，病毒库升级了。你把名字该回去再试试，一样杀的。你这个不会真的就是病毒吧？
yinX 雪币： 377 活跃值： (427) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 119 粉丝 1 关注私信	yinX 2 2009-2-22 00:41 10 楼 0 这个只是把计算器和记事本程序捆绑后的EXE，我一个小菜鸟怎么敢在看雪里乱来嘛不过00031742_L3.exe不杀，然后改成00031743_L3.exe被杀了，然后再改回00031742_L3.exe还是不杀……
aburrido 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	aburrido 2009-2-22 01:12 11 楼 0 真牛误报有的时候很讨厌
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 65 回帖 319 粉丝 4 关注私信	menting 14 2009-2-22 07:54 12 楼 0 杀软真的这么强，实际LZ是走运了，你改成43，正好杀软睡醒，你改成42，杀软补觉去了，只是运气比较好吧~~！
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2009-2-22 08:48 13 楼 0 宁可错杀一千，也不能放过一个
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 2009-2-22 11:15 14 楼 0 卡巴也会这样啊？没碰过
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 613 粉丝 0 关注私信	nkspark 3 2009-2-22 11:31 15 楼 0 反病毒引擎版本最后更新扫描结果 a-squared 4.0.0.93 2009.02.22 BehavesLikeWin32.ProcessHijack!IK AhnLab-V3 2009.2.21.0 2009.02.21 Dropper/Sramler.39936 AntiVir 7.9.0.87 2009.02.21 Worm/Rbot.XFC Authentium 5.1.0.4 2009.02.21 - Avast 4.8.1335.0 2009.02.22 Win32:Sramler-J AVG 8.0.0.237 2009.02.21 Dropper.Tiny BitDefender 7.2 2009.02.22 BehavesLike:Win32.ProcessHijack CAT-QuickHeal 10.00 2009.02.20 TrojanDropper.Sramler.e ClamAV 0.94.1 2009.02.22 - Comodo 983 2009.02.20 - DrWeb 4.44.0.09170 2009.02.22 BackDoor.IRC.Combot eSafe 7.0.17.0 2009.02.19 - eTrust-Vet 31.6.6368 2009.02.20 Win32/Injectset F-Prot 4.4.4.56 2009.02.21 - F-Secure 8.0.14470.0 2009.02.22 W32/Malware Fortinet 3.117.0.0 2009.02.21 W32/Sramler.IU!tr GData 19 2009.02.22 Win32:Sramler-J Ikarus T3.1.1.45.0 2009.02.22 BehavesLikeWin32.ProcessHijack K7AntiVirus 7.10.639 2009.02.21 - Kaspersky 7.0.0.125 2009.02.22 Heur.Trojan.Generic McAfee 5532 2009.02.21 - McAfee+Artemis 5532 2009.02.21 - Microsoft 1.4306 2009.02.21 VirTool:Win32/DelfInject.gen!A NOD32 3875 2009.02.21 a variant of Win32/Injector.AQ Norman 6.00.06 None.. W32/Malware nProtect 2009.1.8.0 2009.02.22 Trojan-Dropper/W32.Sramler.160256 Panda 10.0.0.10 2009.02.21 - PCTools 4.4.2.0 2009.02.21 - Prevx1 V2 2009.02.22 High Risk Cloaked Malware Rising 21.17.52.00 2009.02.21 Trojan.Win32.Sramler.aa SecureWeb-Gateway 6.7.6 2009.02.22 Worm.Rbot.XFC Sophos 4.39.0 2009.02.22 Mal/Sramler-A Sunbelt 3.2.1855.2 2009.02.17 - Symantec 10 2009.02.22 - TheHacker 6.3.2.4.263 2009.02.21 - TrendMicro 8.700.0.1004 2009.02.20 - ViRobot 2009.2.20.1617 2009.02.20 Backdoor.Win32.Bifrose.52736.D VirusBuster 4.5.11.0 2009.02.21 -
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 613 粉丝 0 关注私信	nkspark 3 2009-2-22 11:40 16 楼 0 卡巴要真象你说得这么弱，也没法在江湖混这么多年~~~
凉水冰凉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	凉水冰凉 2009-2-22 13:46 17 楼 0 文件名也是可用特征的一种。一个正常软件是不会用这样的名字的。
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 613 粉丝 0 关注私信	nkspark 3 2009-2-23 10:48 18 楼 0 这个观点真的是值得商榷的，我一家之言，正规反病毒产品应该都不会用文件名来作为特征判定的，因为随机性太强了。当然，如果是有人工参与的判定，可以作为特征。
星光小蓝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	星光小蓝 2009-2-23 17:59 19 楼 0 不好意思，楼主这个捆绑程序是用什么工具捆绑的呢？代码有点奇怪，有创建新进程并修改新进程数据的代码
xiechuan 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	xiechuan 2009-2-23 18:11 20 楼 0 正常的啦，在你的机器上不会报的哦，在别的机器上肯定报了！
wangxlxk 雪币： 214 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 127 粉丝 0 关注私信	wangxlxk 2009-2-23 18:28 21 楼 0 宁可错杀一千，也不能放过一个新出的病毒名称吧
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 129 回帖 843 粉丝 5 关注私信	moonife 8 2009-2-24 18:59 22 楼 0 卡巴这么菜，不是吧
bfld 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 85 粉丝 0 关注私信	bfld 2009-3-12 22:05 23 楼 0 我的是卡巴KIS8.0，一点那个压缩包就报木马。
zenix 雪币： 2315 活跃值： (1252) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 836 粉丝 11 关注私信	zenix 1 2009-3-13 10:44 24 楼 0 把它再改成別的名字, 只要和原來的名字不一樣, 就會報毒了吧? 我相信卡巴不會那麼笨. 也是這文件名, 被你設定信任或例外排除了.
WarmIce 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	WarmIce 2009-3-24 09:36 25 楼 0 有这事，得试一试呵呵
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

yinX

发帖

119

回帖

RANK

关注

私信

他的文章

[求助]IDA能不能默认把 DWORD PTR 显示出来？

[原创]《QQ桌球》的缓冲区溢出漏洞报告 + 找工作

[原创]自己写的简单虚拟机 easyVM 0.2

[讨论]只是改了个文件名，卡巴就不报了……

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 2009-2-20 14:38 2 楼 0 说明了？？？
yinX 雪币： 377 活跃值： (427) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 119 粉丝 1 关注私信	yinX 2 2009-2-20 15:04 3 楼 0 我也不知道为什么会这样，我是来求解的不知道大家的机器上有没有这种情况。
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2009-2-20 15:21 4 楼 0 这个是卡巴特有的扫描算法呵呵。
yinX 雪币： 377 活跃值： (427) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 119 粉丝 1 关注私信	yinX 2 2009-2-20 17:29 5 楼 0 我还以为根据文件名来判断病毒是智慧星独创的呢
wztuxw 雪币： 131 活跃值： (181) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 2009-2-21 14:49 6 楼 0 这个00031743_L3名字符合某个卡巴的病毒特征！！所以它就报了误报很正常，但是误报率很高的的话就不正常了。
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 221 粉丝 0 关注私信	dayed 1 2009-2-21 16:41 7 楼 0 宁可错杀一千，也不能放过一个
xiaoAngel 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	xiaoAngel 2009-2-21 23:47 8 楼 0 这是某些杀毒软件走的路线。
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 613 粉丝 0 关注私信	nkspark 3 2009-2-21 23:58 9 楼 0 嗯，其实很好理解。就在你改名字这段时间，病毒库升级了。你把名字该回去再试试，一样杀的。你这个不会真的就是病毒吧？
yinX 雪币： 377 活跃值： (427) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 119 粉丝 1 关注私信	yinX 2 2009-2-22 00:41 10 楼 0 这个只是把计算器和记事本程序捆绑后的EXE，我一个小菜鸟怎么敢在看雪里乱来嘛不过00031742_L3.exe不杀，然后改成00031743_L3.exe被杀了，然后再改回00031742_L3.exe还是不杀……
aburrido 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	aburrido 2009-2-22 01:12 11 楼 0 真牛误报有的时候很讨厌
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 65 回帖 319 粉丝 4 关注私信	menting 14 2009-2-22 07:54 12 楼 0 杀软真的这么强，实际LZ是走运了，你改成43，正好杀软睡醒，你改成42，杀软补觉去了，只是运气比较好吧~~！
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2009-2-22 08:48 13 楼 0 宁可错杀一千，也不能放过一个
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 2009-2-22 11:15 14 楼 0 卡巴也会这样啊？没碰过
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 613 粉丝 0 关注私信	nkspark 3 2009-2-22 11:31 15 楼 0 反病毒引擎版本最后更新扫描结果 a-squared 4.0.0.93 2009.02.22 BehavesLikeWin32.ProcessHijack!IK AhnLab-V3 2009.2.21.0 2009.02.21 Dropper/Sramler.39936 AntiVir 7.9.0.87 2009.02.21 Worm/Rbot.XFC Authentium 5.1.0.4 2009.02.21 - Avast 4.8.1335.0 2009.02.22 Win32:Sramler-J AVG 8.0.0.237 2009.02.21 Dropper.Tiny BitDefender 7.2 2009.02.22 BehavesLike:Win32.ProcessHijack CAT-QuickHeal 10.00 2009.02.20 TrojanDropper.Sramler.e ClamAV 0.94.1 2009.02.22 - Comodo 983 2009.02.20 - DrWeb 4.44.0.09170 2009.02.22 BackDoor.IRC.Combot eSafe 7.0.17.0 2009.02.19 - eTrust-Vet 31.6.6368 2009.02.20 Win32/Injectset F-Prot 4.4.4.56 2009.02.21 - F-Secure 8.0.14470.0 2009.02.22 W32/Malware Fortinet 3.117.0.0 2009.02.21 W32/Sramler.IU!tr GData 19 2009.02.22 Win32:Sramler-J Ikarus T3.1.1.45.0 2009.02.22 BehavesLikeWin32.ProcessHijack K7AntiVirus 7.10.639 2009.02.21 - Kaspersky 7.0.0.125 2009.02.22 Heur.Trojan.Generic McAfee 5532 2009.02.21 - McAfee+Artemis 5532 2009.02.21 - Microsoft 1.4306 2009.02.21 VirTool:Win32/DelfInject.gen!A NOD32 3875 2009.02.21 a variant of Win32/Injector.AQ Norman 6.00.06 None.. W32/Malware nProtect 2009.1.8.0 2009.02.22 Trojan-Dropper/W32.Sramler.160256 Panda 10.0.0.10 2009.02.21 - PCTools 4.4.2.0 2009.02.21 - Prevx1 V2 2009.02.22 High Risk Cloaked Malware Rising 21.17.52.00 2009.02.21 Trojan.Win32.Sramler.aa SecureWeb-Gateway 6.7.6 2009.02.22 Worm.Rbot.XFC Sophos 4.39.0 2009.02.22 Mal/Sramler-A Sunbelt 3.2.1855.2 2009.02.17 - Symantec 10 2009.02.22 - TheHacker 6.3.2.4.263 2009.02.21 - TrendMicro 8.700.0.1004 2009.02.20 - ViRobot 2009.2.20.1617 2009.02.20 Backdoor.Win32.Bifrose.52736.D VirusBuster 4.5.11.0 2009.02.21 -
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 613 粉丝 0 关注私信	nkspark 3 2009-2-22 11:40 16 楼 0 卡巴要真象你说得这么弱，也没法在江湖混这么多年~~~
凉水冰凉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	凉水冰凉 2009-2-22 13:46 17 楼 0 文件名也是可用特征的一种。一个正常软件是不会用这样的名字的。
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 613 粉丝 0 关注私信	nkspark 3 2009-2-23 10:48 18 楼 0 这个观点真的是值得商榷的，我一家之言，正规反病毒产品应该都不会用文件名来作为特征判定的，因为随机性太强了。当然，如果是有人工参与的判定，可以作为特征。
星光小蓝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	星光小蓝 2009-2-23 17:59 19 楼 0 不好意思，楼主这个捆绑程序是用什么工具捆绑的呢？代码有点奇怪，有创建新进程并修改新进程数据的代码
xiechuan 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	xiechuan 2009-2-23 18:11 20 楼 0 正常的啦，在你的机器上不会报的哦，在别的机器上肯定报了！
wangxlxk 雪币： 214 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 127 粉丝 0 关注私信	wangxlxk 2009-2-23 18:28 21 楼 0 宁可错杀一千，也不能放过一个新出的病毒名称吧
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 129 回帖 843 粉丝 5 关注私信	moonife 8 2009-2-24 18:59 22 楼 0 卡巴这么菜，不是吧
bfld 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 85 粉丝 0 关注私信	bfld 2009-3-12 22:05 23 楼 0 我的是卡巴KIS8.0，一点那个压缩包就报木马。
zenix 雪币： 2315 活跃值： (1252) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 836 粉丝 11 关注私信	zenix 1 2009-3-13 10:44 24 楼 0 把它再改成別的名字, 只要和原來的名字不一樣, 就會報毒了吧? 我相信卡巴不會那麼笨. 也是這文件名, 被你設定信任或例外排除了.
WarmIce 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	WarmIce 2009-3-24 09:36 25 楼 0 有这事，得试一试呵呵
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复