12   1  /  2  页   跳转

[体验09] 小测木马行为编辑器的可行性(一)

小测木马行为编辑器的可行性(一)

编者最编辑器的学习已有一段时间,对该工具已有了基本的认识,但学习的过程中的种中问题让我对它目前的可行性产生了质疑!不多说,下面是编者的测试:




-----首先,我们大多数人都不是高手,真正能够编出规则来的还是少数,工程师也说了,是高手编,大家共享.那么本人去下载了瑞星工程师的规则进行测试(连接http://bbs.ikaka.com/showtopic-8563768.aspx).由于规则众多不可能多拿上来所以挑了个典型的------------隐蔽安装的进程.
  经过测试以后发现误报比较多,在此只举一例,暴风2009,我们将规则导入,然后打开暴风09
  我们选第二项然后确定,第一次暴风就这样没打开,再去打开暴风就没有弹窗了,但重启后症状依然复现.(有人说加白名单,但白名单不是随便加的).既然工程师编的都不一定适合我们,那别人的我们敢用吗?借用某为网友说的话:自己又不会编,别人编的也未必敢用!!


  -----第二个问题,编辑器的各种功能比较混乱或者说每种功能的执行效果我们并不是很清楚.虽然有使用说明,但上面的功能的解释并不清楚,我们无法了解功能真正的含义.以下是依据:
  首先大家浏览这篇本人的帖子http://bbs.ikaka.com/showtopic-8590390.aspx
  大家看完后是不是觉得功能效果很难琢磨,有些混乱?
  首先工程师说扩展名不在文件名里面,那么这又是怎么回事?
 
显然工程师自己也前后矛盾了(汗...........)
  还有,工程师说对没用界面的进程编辑器无效,那么上面提供的连接帖中第一次又为什么有效果?显然这里就涉及到对该句话的解释问题,但使用说明里也只是原话一笔带过,这显然让人不好理解.如此一来就必须说明这里的进程到底指什么进程?操作者还是被操作者?即便指明只哪个,也不是简单有没界面就能完全区分的,还是需要更完善的解释.



  一上只是小部分测试,后续有时间还会发的.单由此还是能得出结论是在目前此编辑器的可行性相当差(可以说基本很难实现所谓大家一起防木马)

  欢迎各位来交流,并留下好的建议,拍砖的就别来了

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )
本帖被评分 1 次
分享到:
gototop
 

回复: 小测木马行为编辑器的可行性(一)

我写的规则,交流交流

附件附件:

下载次数:342
文件类型:application/octet-stream
文件大小:
上传时间:2009-1-22 11:01:25
描述:rar


一点点的激情,一点点的执着,让我一步一步的走入了自己梦寐以求的行业。从一个学校里年少轻狂的孩子,成为了一名信息安全的研发工程师。从只知道写代码,真正开始慢慢的去思考、设计和实现一种技术、一种算法、一个模块、一个软件乃至一个系统。
人生本来就该不断的追求梦想,不断的跨过一个又一个不可能穿越的鸿沟。别人看来,我很疯狂,但我笑了,人生能有几回疯?真正疯狂的人是不计后果的向前冲的,至少我还不是。我所想的,只是别人不敢想的。我所做的,只是别人不敢做的。一个一个虚无缥缈的事物,都必须是有一个一个疯狂的人逐渐的具体和完善。但愿我是这样的人,我只愿做这样的人。
gototop
 

回复:小测木马行为编辑器的可行性(一)

首先 这里面的“工程师”称谓错误  我提供的规则 仅仅是 我自己编的  是教大家 怎么用 不是“官方规则”
另外  规则对于没有窗口的 才报警 但有些进程开始时候 是没有窗口的 比如编个进程 创建个互斥量  在创建互斥量后 他可能才开始绘制窗口  所以之前的某个时点也是属于没有窗口的  可能也会误报

另外 我给的那个规则  有些规则 比较“严“  存在误报 所以有些规则放到高级别里面  你如果是高手 可以 自己试着编一些 更好的规则 如果好会向大家推荐的
最后编辑newcenturymoon 最后编辑于 2009-01-22 11:09:31
gototop
 

回复: 小测木马行为编辑器的可行性(一)



引用:
原帖由 天下奇才 于 2009-1-22 11:01:00 发表
我写的规则,交流交流


比官方的规则好用么?
gototop
 

回复:小测木马行为编辑器的可行性(一)

官方没有规则。。。汗
gototop
 

回复 4F Palkia 的帖子

官方也没不发布规则,内置有了。不过弄来玩玩的,呵呵

一点点的激情,一点点的执着,让我一步一步的走入了自己梦寐以求的行业。从一个学校里年少轻狂的孩子,成为了一名信息安全的研发工程师。从只知道写代码,真正开始慢慢的去思考、设计和实现一种技术、一种算法、一个模块、一个软件乃至一个系统。
人生本来就该不断的追求梦想,不断的跨过一个又一个不可能穿越的鸿沟。别人看来,我很疯狂,但我笑了,人生能有几回疯?真正疯狂的人是不计后果的向前冲的,至少我还不是。我所想的,只是别人不敢想的。我所做的,只是别人不敢做的。一个一个虚无缥缈的事物,都必须是有一个一个疯狂的人逐渐的具体和完善。但愿我是这样的人,我只愿做这样的人。
gototop
 

回复 3F newcenturymoon 的帖子

吖。。。不是官方的
gototop
 

回复:小测木马行为编辑器的可行性(一)

两个一起用试试
gototop
 

回复: 小测木马行为编辑器的可行性(一)



引用:
原帖由 天下奇才 于 2009-1-22 11:01:00 发表
我写的规则,交流交流


你的规则似乎有些 优点重复.............            还有,问下文件名正则匹配到底是什么意思(最好举例说明)
gototop
 

回复 3F newcenturymoon 的帖子

上次我也导入过。。很多都误报。。后来全删了。。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT