瑞星卡卡安全论坛

首页 » 企业产品讨论区 » 瑞星2009公测 » 木马入侵拦截有奖体验专区 » 发现行为编译器无法实现一些复杂的自定义规则,只能编辑一些简单的规则,结果是误杀很重!!!
shulun743 - 2008-11-23 18:17:00
发现行为编译器无法实现一些复杂的自定义规则,只能编辑一些简单的规则,结果是误杀很重!!!


究其原因是:瑞星的行为引擎判断未知病毒的方法太过简单(导入编辑的规则)------只靠一条规则就判断为病毒而报警,太敏感了!!!
而病毒的判定希望用多条规则,这样误杀的可能性就降低很多!!!
这样说太抽象了,举个例子(下述规则在附件中):

1.cmd调用:
    总不能没有界面的程序调用cmd就判定为病毒吧!!!建议判断流程改为:
    a:没有界面的程序调用cmd  (放过,进入流程b)
    b:调用cmd启动del,任意删除文件(报警)
    c:调用cmd启动ntsd,试图结束瑞星进程(报警)

2.可疑感染型病毒

    我用加壳工具给已知病毒加壳时(为了测试脱壳能力) ,瑞星报警提示试图遍历exe文件!!!  建议判断      流程改为:
    a:程序试图遍历exe文件(放过,进入b)
    b:监控此进程试图修改的exe文件的个数,若修改的个数大于5个(如:加壳工具一次给五个不同的程序加壳),则报警,            并执行回滚操作!!!(沙盘程序)这样可避免误报。
3.可疑病毒5.
    病毒试图释放dll,并挂全局钩子!你总不能:“有程序释放并加载全局钩子, 就报警吧?”如QQ在安装时便会触发 此        规则!!!

    a:程序试图释放dll并挂全局钩子(放过,进入b)
    b:监控此程序,若此程序向瑞星发送虚拟信息;模拟键盘输入或模拟鼠标点击,应立即删除并提示用户!!!(只提示处理结      果就行了,免得病毒发送虚拟信息)
    c:监控此程序,若此程序又挂接键盘钩子(报警)

4.可疑病毒6。
    建议监控流程为:
    a:程序试图释放并加载驱动或程序之加载驱动(没有释放动作)------放过,进入流程b
    b:试图结束瑞星的进程(立即报警)这一步很难处理,瑞星的自我保护太弱了,一加载驱动瑞星就挂了,还有一部分程序加    载驱动并试图结束瑞星的进程,但它却不是病毒!!!
5.后台启动ie-----你总不能一后台启动ie就报警吧!!!很多程序在卸载时都会弹出ie收集信息
    a:后台调用浏览器(放过 ,进入流程b)
    b:监视ie,若发现ie试图下载未知程序--------报警!    浏览器有很多,不能只监控ie,应丰富监控名单!!!

6.隐蔽安装的程序---------经常安装迅雷  windows优化大师时,瑞星报警  发现tmp试图隐蔽安装在您的计算机上。
    监控流程不知该如何编辑!!!



以上建议都是针对附件中上传的规则包有感而发!!!序号1-6,在附件中都有详细的规则对应,如上述复杂的规则制定(可疑文件判断流程),只有待工程师来制订了!!!建议改进,减少误报和报警窗口吧!!! 
http://bbs.ikaka.com/attachment.aspx?attachmentid=451928

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4
瑞星工程师19 - 2008-11-23 18:35:00
感谢楼主的支持,您提交的问题已经上报,请继续关注瑞星~
tksk - 2008-11-30 4:24:00
该用户帖子内容已被屏蔽
newcenturymoon - 2008-12-4 22:46:00
论坛的这个规则是用户自定义的 不是官方的规则 也不会整合在瑞星2009里面 这个规则是我个人编辑的 目的是交流 教有一定杀毒经验的人如何去利用这个工具编写规则..
规则肯定有误报 不代表官方~  目前支持的行为种类暂时有这么多 你可以利用你的经验修改这个规则 我们非常欢迎 ~ 今后行为防御支持的API种类还会更多 。
1
查看完整版本: 发现行为编译器无法实现一些复杂的自定义规则,只能编辑一些简单的规则,结果是误杀很重!!!