发现行为编译器无法实现一些复杂的自定义规则,只能编辑一些简单的规则,结果是误杀很重!!!
究其原因是:瑞星的行为引擎判断未知病毒的方法太过简单(导入编辑的规则)------只靠一条规则就判断为病毒而报警,太敏感了!!!
而病毒的判定希望用多条规则,这样误杀的可能性就降低很多!!!
这样说太抽象了,举个例子(下述规则在附件中):
1.cmd调用:
总不能没有界面的程序调用cmd就判定为病毒吧!!!建议判断流程改为:
a:没有界面的程序调用cmd (放过,进入流程b)
b:调用cmd启动del,任意删除文件(报警)
c:调用cmd启动ntsd,试图结束瑞星进程(报警)
2.可疑感染型病毒
我用加壳工具给已知病毒加壳时(为了测试脱壳能力) ,瑞星报警提示试图遍历exe文件!!! 建议判断 流程改为:
a:程序试图遍历exe文件(放过,进入b)
b:监控此进程试图修改的exe文件的个数,若修改的个数大于5个(如:加壳工具一次给五个不同的程序加壳),则报警, 并执行回滚操作!!!(沙盘程序)这样可避免误报。
3.可疑病毒5.
病毒试图释放dll,并挂全局钩子!你总不能:“有程序释放并加载全局钩子, 就报警吧?”如QQ在安装时便会触发 此 规则!!!
a:程序试图释放dll并挂全局钩子(放过,进入b)
b:监控此程序,若此程序向瑞星发送虚拟信息;模拟键盘输入或模拟鼠标点击,应立即删除并提示用户!!!(只提示处理结 果就行了,免得病毒发送虚拟信息)
c:监控此程序,若此程序又挂接键盘钩子(报警)
4.可疑病毒6。
建议监控流程为:
a:程序试图释放并加载驱动或程序之加载驱动(没有释放动作)------放过,进入流程b
b:试图结束瑞星的进程(立即报警)这一步很难处理,瑞星的自我保护太弱了,一加载驱动瑞星就挂了,还有一部分程序加 载驱动并试图结束瑞星的进程,但它却不是病毒!!!
5.后台启动ie-----你总不能一后台启动ie就报警吧!!!很多程序在卸载时都会弹出ie收集信息
a:后台调用浏览器(放过 ,进入流程b)
b:监视ie,若发现ie试图下载未知程序--------报警! 浏览器有很多,不能只监控ie,应丰富监控名单!!!
6.隐蔽安装的程序---------经常安装迅雷 windows优化大师时,瑞星报警 发现tmp试图隐蔽安装在您的计算机上。
监控流程不知该如何编辑!!!
以上建议都是针对附件中上传的规则包有感而发!!!序号1-6,在附件中都有详细的规则对应,如上述复杂的规则制定(可疑文件判断流程),只有待工程师来制订了!!!建议改进,减少误报和报警窗口吧!!!
http://bbs.ikaka.com/attachment.aspx?attachmentid=451928用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4