This is a mobile optimized page that loads fast, if you want to load the real page, click this text.

Hỏi/ Thắc mắc Cách đọc thông tin khi quét file trên VirusTotal

vinhtruyen92

Rìu Vàng
Hi mọi người.
Mình test quét thử 1 file trên Virus Total thì thấy tổng kết lại là xanh, phát hiện 0 vấn đề. Nhưng nếu click vào mục Relations, thì thấy nhiều cái rất lạ. Trong đó có những đuôi .virus như ảnh.
Vậy thì tóm lại thì như file này thì đánh giá như thế nào? Thanks.
 

Chủ đề tương tự

𝐀𝐈𝐎 𝐒𝐨𝐟𝐭𝐰𝐚𝐫𝐞 𝐒𝐢𝐥𝐞𝐧𝐭 𝟐.𝟏 - 𝐁ộ 𝐜ô𝐧𝐠 𝐜ụ 𝐜ầ𝐧 𝐭𝐡𝐢ế𝐭 𝐜𝐡𝐨 𝐖𝐢𝐧𝐝𝐨𝐰𝐬 𝐯à 𝐊𝐓𝐕
µTorrent Pro 3.5.5 Build 45988 Stable Full - Hỗ trợ tải file, game và video chia sẻ qua mạng ngang hàng
μTorrent (uTorrent) v2.0.4 Build 22967 Portable/v2.2.1 Build 25302 Portable - Tải, chia sẻ file qua giao thức ngang hàng P2P
Đưa ứng dụng Photo Viewer của các phiên bản Windows cũ trở lại Windows 10
Đồng bộ file
M

mrJaden

Rìu Bạc
vụ này mình cũng chưa để ý, hóng cao nhân!
Có vẻ là lịch sử file mà ng dùng uploaded lên, có thể cùng file đó hoặc khác nhưng trùng tên hoặc version khác (mã hash và ngày up)
 

Hamano Kaito

Moderator
Đúng như bạn đoán. Nó chính là như vậy vì khi dịch cái chữ đó ra là nó ghi là "mối liên hệ"
Tức là có liên quan thôi. Mà file setup nén (tức là file cài) khó mà phân biệt được lắm
Phải trích xuất ra file thực thi mới rõ được. Đôi khi quét file cài đặt sạch nhưng khi cài vào thì ý ẹ
 

tamthangia

Rìu Vàng Đôi
chung hash thì nó sẽ lấy luôn lược sử quét của ng upload trước , nếu mã hash mới thì n sẽ quét lại . phần bạn hỏi có lẽ là các file có định dạng tên trùng hoặc gần trùng với tên bạn quét
 
M

mrJaden

Rìu Bạc
câu cuối nói như bạn thì quét file là vô ích ư
 
M

malemkhoang

Rìu Chiến
Mọi người lưu ý tệp "win32.exe" kìa. Nó có thể là bất cứ thứ gì người ta muốn: trojan, keylogger...​
Tôi tìm thấy có một review như vậy.


Mức độ nguy hiểm từ >40% đến <90%.
 

Hamano Kaito

Moderator
mrJaden nói:
câu cuối nói như bạn thì quét file là vô ích ư
Nhấn để mở rộng...
Quét file cài đặt thực sự là vô nghĩa bạn ơi. Chỉ có quét file thực thi nó mới chính xác
Như mình nói bên trên đấy. Họ có thể dùng 1 trình nén cài đặt và giả danh chữ ký
Bạn quét mãi chả thấy gì nhưng khi cài vào là dính chưởng
 

vinhtruyen92

Rìu Vàng
em tưởng mã hash thì là duy nhất thôi chứ?
nếu sửa thì thành ra mã hash khác rồi. bác chỉ giúp em phát.
 
D

dammage

Rìu Chiến
bạn bấm vô cái chữ i kế bên execution parents nó có giải thích, đó là danh sách các file cha đã tạo ra file của bạn (thường là các file cài đặt hoặc bung nén) được ghi nhận từ những lần quét trước đó, còn cái đuôi virus thì có khi người ta đặt để đánh dấu đừng click lộn thôi

win32 exe là file type, đâu phải file name đâu bạn
 
M

malemkhoang

Rìu Chiến
Không sao. Cũng giúp tôi biết thêm điều cần thiết.
 

vinhtruyen92

Rìu Vàng
em đọc thì cũng hiểu 50% điều bác nói thôi file cha với con chưa hiểu lắm.
Nhưng nếu quét 1 file như vậy, nhìn có những dấu hiệu lạ như mấy chỗ em khoanh đỏ, thì xác suất file đó "không an toàn" có cao không bác?
 
M

mrJaden

Rìu Bạc
chưa hiểu lắm bác ơi, nó đều là exe mà?
 
D

dammage

Rìu Chiến

giả sử có người nào đó quét thử 1 file tên là CallMeYourLove.setup-x64.1.0.1.exe, hệ thống phân tích thấy rằng file này khi chạy sẽ tạo ra 5 file như dưới đây
Mã: 
CallMeYourLove.setup-x64.1.0.1.exe
      |
      |_____ CallMeYourLove.x64.exe
      |_____ Assets.ass
      |_____ utils.exe
      |_____ soundlib.dll
      |_____ EULA.txt

giờ bạn quét 1 file tên abc.exe, hệ thống kiểm tra phát hiện trùng với file utils.exe sinh ra từ CallMeYourLove.setup-x64 ở trên, nên CallMeYourLove.setup-x64.exe được gọi là file cha vậy thôi

cái file cha này là virustotal nó ghi nhận từ những lần quét trước đó, giờ nó thấy trùng thì show ra cho bạn tham khảo vậy thôi, chứ file của bạn có khi down từ 1 nguồn nào đó hổng liên quan gì tới cái callme.setup hết, cái bạn khoanh tròn cũng chỉ là kết quả quét của file cha không liên quan tới file con
 
You must log in or register to reply here.


Menu
Đăng nhập
Register