吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 541|回复: 17
上一主题 下一主题
收起左侧

[PC样本分析] 对于B站某视频的报毒分析

[复制链接]
跳转到指定楼层
楼主
Nevvb1e251111 发表于 2026-7-15 15:17 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
今天在贴吧的病毒吧看到了一个24年的帖子,标题是“观看B站视频特定情况时会触发卡巴斯基报毒”。于是就借着AI来分析了一下这个情况。

我不太会使用这个编辑,可能排版啥的看着不舒服,还请大家见谅!下去后我去学习学习怎么排版

视频连接https://www.bilibili.com/video/BV1sx411C75U/?
访问后卡巴会拦截下载
[Asm] 纯文本查看 复制代码
事件: 下载被拒绝
用户: LAPTOP-0VPR0GU9
用户类型: 发起者
应用程序名称: chrome.exe
应用程序路径: C:\Program Files\Google\Chrome\Application
组件: 安全浏览
结果描述: 已阻止
类型: 木马
名称: HEUR:Trojan.BAT.KillProc.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: seg.so?type=1&oid=14940328&pid=9044992&segment_index=1&pull_mode=1&ps=0&pe=120000&web_location=1315873&w_rid=21abbb147f30afdf51d3098114660d1e&wts=1784091768
对象路径: https://api.bilibili.com/x/v2/dm/wbi/web
对象的 MD5: 31C8DA1CD9C0E131DCD96C5BD54A9B04
原因: 专家分析
数据库发布日期: 今天,2026/7/15 12:07:00

对象叫seg.so,是B站的protobuf二进制弹幕包,而.so文件是动态共享库,一些木马病毒会使用恶意so库实现隐藏进程、窃取数据,再加上这段超长,很多特殊符号的URL参数,正中了卡巴的启发式引擎判定。我们继续看看这个文件里都有什么。在该视频网页打开F12,勾选保留日志和停用缓存功能,使用Ctrl+Shift+R刷新,在上面搜索框里搜索“seg.so”就可以看到两个文件。!操作前记得关闭杀软! 否则会被拦截状态码全部返回499!


选中其中一个->复制->以cURL(cmd)格式复制,内容如下
[Bash shell] 纯文本查看 复制代码
curl 'https://api.bilibili.com/x/v2/dm/wbi/web/seg.so?type=1&oid=14940328&pid=9044992&segment_index=1&pull_mode=1&ps=0&pe=120000&web_location=1315873&w_rid=efd0d0e3515ea452fc2bd0f222b59a4d&wts=1784092083' \
  -H 'accept: application/json, text/plain, */*' \
  -H 'accept-language: zh-CN,zh;q=0.9' \
  -H 'cache-control: no-cache' \
  -b $'enable_web_push=DISABLE; buvid4=xxxxxx; theme-tip-show=SHOWED; theme-switch-show=SHOWED; blackside_state=0; CURRENT_BLACKGAP=0; buvid3=xxxxxx; b_nut=xxxxxx; _uuid=xxxxxx; rpdid=xxxxxx; buvid_fp=xxxxxx; SESSDATA=xxxxxx; bili_jct=xxxxxx; DedeUserID=xxxxxx; DedeUserID__ckMd5=xxxxxx; historyviewmode=grid; fingerprint=xxxxxx; CURRENT_LANGUAGE=; LIVE_BUVID=xxxxxx; theme_style=light; theme-avatar-tip-show=SHOWED; ogv_device_support_dolby=0; ogv_device_support_hdr=0; CURRENT_QUALITY=120; bili_ticket=xxxxxx; bili_ticket_expires=xxxxxx; home_feed_column=5; browser_resolution=xxxxxx; bsource=search_baidu; CURRENT_FNVAL=4048; sid=xxxxxx; bp_t_offset_xxxxxx=xxxxxx; b_lsid=xxxxxx' \
  -H 'dnt: 1' \
  -H 'origin: https://www.bilibili.com' \
  -H 'pragma: no-cache' \
  -H 'priority: u=1, i' \
  -H 'referer: https://www.bilibili.com/video/BV1sx411C75U/?' \
  -H 'sec-ch-ua: "Not;A=Brand";v="8", "Chromium";v="150", "Google Chrome";v="150"' \
  -H 'sec-ch-ua-mobile: ?0' \
  -H 'sec-ch-ua-platform: "Windows"' \
  -H 'sec-fetch-dest: empty' \
  -H 'sec-fetch-mode: cors' \
  -H 'sec-fetch-site: same-site' \
  -H 'sec-gpc: 1' \
  -H 'user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/150.0.0.0 Safari/537.36'

可以确认是该视频分片内全部弹幕原始二进制数据。
[Asm] 纯文本查看 复制代码
ps=0&pe=120000:代表拉取0~120000 毫秒区间的所有弹幕
返回头 Content-Type: application/octet-stream,是二进制弹幕包
弹幕出现时间、文字内容、字号、颜色、弹幕位置(顶部 / 底部 / 滚动)
发送者 UID、弹幕 ID、弹幕类型、是否会员弹幕、是否保护弹幕等
segment_index=1:当前是第 1 个弹幕分片,长视频会分多段加载;
pull_mode=1:网页常规拉取模式;
w_rid + wts:B 站 WBI 签名与时戳,用来校验本次请求合法性,防止非法爬虫;
web_location:前端页面来源标记,用于 B 站后台统计播放来源。

现在来保存一下这个bin文件,看看里面到底是什么。右键其中一个,选择在新标签页中打开,就会自动下载这个文件了。下载好后先用010看一下。

下面是其中的一点数据,根据文件头可以看出这就是标准的protobuf数据,
[Asm] 纯文本查看 复制代码
0A 54 08 BE EE E2 BD 0B 10 EA 07 18 01 20 19 28
FF FF FF 07 32 08 35 37 33 66 33 65 66 31 3A 0C
E6 8E 80 E9 A6 86 E8 80 8C E8 B5 B7 40 E5 8F 83
C6 05 48 09 62 0A 33 30 38 32 33 33 36 30 36 32
78 05 A2 01 01 30 AA 01 01 30 C8 01 01 D0 01 A8
F1 8F 07 D8 01 01 0A 58 08 84 E2 E9 BD 0B 10 B0
F1 02 18 01 20 19 28 FF FF FF 07 32 08 35 34 65
65 38 37 38 64 3A 11 E8 BF 99 70 76 E5 A5 BD E6
A3 92 EF BC 81 EF BC 81 40 AF AC 83 C6 05 48 03
62 0A 33 30 38 32 34 34 39 31 35 36 A2 01 01 30
AA 01 01 30 C8 01 01 D0 01 A8 F1 8F 07 D8 01 01
0A 4D 08 F8 D0 96 BE 0B 10 BB 8B 03 18 01 20 19
28 FF FF FF 07 32 08 39 63 33 33 35 34 39 32 3A
06 E5 BE 88 E6 A3 92 40 F2 B5 84 C6 05 48 02 62
0A 33 30 38 33 31 38 34 32 34 38 A2 01 01 30 AA
01 01 30 C8 01 01 D0 01 A8 F1 8F 07 D8 01 01 0A
50 08 FC FC 91 C0 0B 10 D0 9B 01 18 01 20 19 28
FF FF FF 07 32 08 64 36 32 63 61 36 33 34 3A 09
E5 A5 BD E5 A5 BD E5 A5 BD 40 E3 E7 8A C6 05 48
03 62 0A 33 30 38 37 33 30 32 32 36 38 A2 01 01
30 AA 01 01 30 C8 01 01 D0 01 A8 F1 8F 07 D8 01
01 0A 5E 08 A0 C0 F1 C0 0B 10 C5 8B 03 18 01 20
19 28 FF FF FF 07 32 08 66 64 34 36 62 36 39 64
3A 15 E6 8E 80 E8 B5 B7 E4 BA 86 E6 88 91 E7 9A
84 E6 A3 BA E6 9D 90 40 FD D5 8D C6 05 48 03 62
0A 33 30 38 38 38 36 37 33 36 30 78 01 A2 01 01

我让AI给我写了个提取内容转文字的网页,效果如下



最后我把该网页两个seg.so文本内容都导出后发现并没有什么恶意代码啥的。大概率是卡巴误报。
搞笑的是这个视频右侧就有弹幕内容。。。

两个文件的沙箱检测结果如下:
seg.so微步云沙箱检测结果
seg.so(1)微步云沙箱检测结果
seg.so VT检测结果seg.so(1) VT检测结果

所以,这个基本上就是卡巴误报了。17年发布的视频,252万的播放,如果真是病毒,B站估计早就清理了。
样本,密码是52pojie

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
3y3s + 1 + 1 用心讨论,共获提升!
ytfh1131 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
Asra 发表于 2026-7-15 23:44
卡巴还是太权威了。不过最近B站刷到好几个视频说有的UP借用B站的链接跳转到盗号网站,骗你说要检测是否对视频三连,填手机号码获取验证码,这种钓鱼的不少
沙发
 楼主| Nevvb1e251111 发表于 2026-7-15 15:22 |楼主
为啥我这几个连接没有跳转功能,难道是还没过审核?
3#
myconan 发表于 2026-7-15 16:55
说明卡巴杀毒软件还是蛮强滴!
最起码让你重视起来
4#
ozo 发表于 2026-7-15 17:01
手段多种多样 技术更新还是不够快
5#
tsabo 发表于 2026-7-15 17:04
卡巴……有些过于敏感了
6#
勤奋好学的美工 发表于 2026-7-15 17:07
卡巴敏感基,虽然确实麻烦,但是相对来说比某些杀毒软件什么都不报强
7#
mafeichang 发表于 2026-7-15 18:26
敏感肌卡巴属于是
8#
zyp75 发表于 2026-7-15 19:26
卡巴斯基是宁可杀错,不可放过,杀毒能力确实可以
9#
鑫利办公 发表于 2026-7-15 19:52
水土不服吗?
10#
w547890 发表于 2026-7-15 20:23

说明卡巴杀毒软件还是蛮强滴!
最起码让你重视起来
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - 52pojie.cn ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2026-7-16 07:59

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表