V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
fzinfz
V2EX  ›  问与答

一个文件,一堆杀软报毒,另一堆不报,相信谁?

  •  
  •   fzinfz · 2015-06-03 00:04:17 +08:00 · 3776 次点击
    这是一个创建于 3447 天前的主题,其中的信息可能已经有所发展或是发生改变。
    AVG/McAfee报毒
    NOD32/卡巴/趋势通过

    详细分析结果: https://www.virustotal.com/en/file/e48bb68e2917f0d48b514f86ce4427588d133c6877d935b34514de5d501626f1/analysis/
    (这个网站是google关键词virus online test搜到的第一个)

    样本: http://pan.baidu.com/s/1c04gEfm





    14 条回复    2015-06-03 19:45:32 +08:00
    em70
        1
    em70  
       2015-06-03 00:10:34 +08:00
    误报可能性大,只要出处信得过就不怕,不明出处就不要冒险了
    cevincheung
        2
    cevincheung  
       2015-06-03 00:12:44 +08:00   ❤️ 1
    zts1993
        3
    zts1993  
       2015-06-03 00:24:47 +08:00 via Android
    动作可疑但是和他功能可能确实需要。。

    我还是相信Trend的23333
    fzinfz
        4
    fzinfz  
    OP
       2015-06-03 00:38:31 +08:00
    @em70 还算信得过吧,风险太大我会丢VM的。不过免费软件貌似总爱后台运行点什么的。。。

    @cevincheung 很好的工具,感谢~~~ 不过发现这些行为分析工具貌似都不提供网络端口和流量检测报告,不知道创建的进程后台干了什么。。。 感觉其它软件不会无故报backdoor/Trojan...
    ihacku
        5
    ihacku  
       2015-06-03 00:55:05 +08:00
    大白菜啊 这家pe恢复的系统会绑ie主页好像
    yeyeye
        6
    yeyeye  
       2015-06-03 01:12:00 +08:00
    类似这种在线分析可执行文件的行为的网站 还有别的么 目前收集到3个

    http://habo.qq.com/
    https://fireeye.ijinshan.com/
    https://malwr.com/submission/
    manhere
        7
    manhere  
       2015-06-03 01:28:50 +08:00
    牵扯到MBR和GRUB,考虑到是制作启动盘需要,应属误报。
    cchange
        8
    cchange  
       2015-06-03 01:32:01 +08:00
    实在不行 找个不用的电脑制作出启动U盘后
    用fbinsttool来拷贝出分区来 然后重新部署
    hx1997
        9
    hx1997  
       2015-06-03 06:53:05 +08:00 via Android
    VT 上的 AV 厂商只用相信这些:

    ESET
    Kaspersky
    Microsoft
    Symantec
    Dr. Web
    avast!

    其中前三个最可信,其余次之。
    geeklian
        10
    geeklian  
       2015-06-03 07:22:37 +08:00 via iPhone   ❤️ 1
    大白菜嘛……

    报毒不是很正常么,可能对你制作pe的系统无影响,但大白菜pe确实会在pe下安装的系统,不管ghost还是wim的,植入启动项,首次开机后下载安装捆绑软件。

    留没留下后门,这个要你怎么界定这个结果的范围,是制作完pe,就算结束了,还是要考虑这个pe对未来的影响?

    我觉得两类杀毒都没错,更倾向支持报毒的,现在pe几乎都是流氓pe了,少点的好。
    blaboy
        11
    blaboy  
       2015-06-03 09:39:43 +08:00 via Android   ❤️ 1
    楼上说的没错呢。

    为什么不试试看 微PE 呢?
    www.wepe.com.cn
    绝对纯净、不修改主页不捆绑。作者是早期的通用PE作者李培聪。
    Panic
        12
    Panic  
       2015-06-03 09:55:46 +08:00
    应该没事, 敏感行为可以理解
    momou
        13
    momou  
       2015-06-03 10:20:00 +08:00
    目测要写mbr,误报很正常啊。。。
    fzinfz
        14
    fzinfz  
    OP
       2015-06-03 19:45:32 +08:00
    多谢大家的意见~~ 只是好奇杀软差别怎么怎么大,25 vs 32啊。。。
    不过如果涉及MBR就误报要用户忽略的话,很容易被植入真的木马。。。

    @geeklian 多谢解答,不知道原来DBC还修改原版WIM。。。我装OS一般普通OS下WinNTSetup或NT6直接解压WIM装,DBC只做U盘启动救援用途

    @blaboy 多谢推荐的pe,已关注,测了下功能满足要求,其实我只是需要一个兼容UEFI/BIOS&DOS/PE的启动盘而已~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2822 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 02:17 · PVG 10:17 · LAX 18:17 · JFK 21:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.