瑞星卡卡安全论坛

一、
什么是木马行为规则编辑器
瑞星2009通过对木马等病毒的行为分析，智能监控未知木马等病毒，抢先阻止其偷窃和破坏行为。此部分是分为瑞星内置规则和用户自定义规则。内置规则是瑞星根据多年反病毒经验的汇总，而用户自定义规则是根据不同用户的需求和实际情况而自行编辑的。
木马行为规则编辑器就是瑞星官方提供给用户编辑自定义行为规则的工具。



二、
怎么运行木马行为规则编辑器
初次使用的用户，需要下载规则编辑器。打开瑞星主程序，选择“工具”选卡，点击下方“检测更新”，下载木马行为规则编辑器。

001_下载工具.jpg (50.31 K)

2008-12-20 15:27:24

展开在下方的“扩展工具”， “木马行为防御－行为编辑器”就是今天的主角——木马行为规则编辑器。

002_运行工具.jpg.jpg (4.77 K)

2008-12-20 15:27:24

三、
如何设置行为规则
打开主界面，我们可以看到，我们通过编辑器，能进行规则的增加、删除、导入和导出。

003_主界面.jpg (38.16 K)

2008-12-20 15:27:24

下面，本人简要的介绍一下规则编辑器中一些参数的含义

1．
文件规则

004_文件规则.jpg (20.33 K)

2008-12-20 15:27:24

·监控操作
新建文件：监控创建行为
修改文件：监控修改行为
任意操作文件：监控所有行为

·监控规则
[监控对象]
文件全路径：监控对象为特定文件，含扩展名。对应监控匹配值为路径，支持通配符“?”“*”，支持系统环境变量。
文件映像路径：监控对象为特定文件（相对于进程而言），含扩展名。对应监控匹配值为路径，支持通配符“?”“*”，支持系统环境变量。
主文件类型（有提示）：2表示PE文件，1表示非PE文件。本人认为此对象一般匹配操作用“数值等于”较为方便和合适。
子文件类型（有提示）：2表示dll文件，1表示exe文件，0表示其它文件。
目录名：监控对象为目录。对应监控匹配值为目录路径，支持通配符“?”“*”，支持系统环境变量。
文件名，不包含路径：监控对象为某一文件，含扩展名。对应监控匹配值为文件名，支持通配符“?”“*”。
没有扩展名的名字：监控对象为某一文件，不含扩展名。对应监控匹配值为文件名，支持通配符“?”“*”，支持系统环境变量。
扩展名：监控对象为某一扩展名的文件。对应监控匹配值为扩展名，支持通配符“?”“*”


[匹配操作]
字符是：全字符串匹配操作
包含：包含字符串匹配操作
包含于：包含给定字符串某几个特定字符的匹配操作
正则表达式：使用方式未知，正在求证中
数值等于：数值匹配操作
数值大于：数值比较操作
数值小于：数值比较操作
数值位与：未知，正在求证中

2．
注册表规则

005_注册表规则.jpg.jpg (22 K)

2008-12-20 15:27:24

基本同文件规则

3．
API规则

006_API规则.jpg.jpg.jpg (23.92 K)

2008-12-20 15:27:24

·监控对象
远程进程：创建远程进程，一般用于注入
创建进程：创建一个新的进程
加载驱动：加载驱动
窗口挂钩：挂钩
      这里监控SetWindowsHook和SetWindowsHookEx函数的idHook参数。可以在MSDN中查到。本人只给出几个常规的：
键盘挂钩：2，13（Windows NT/2000/XP支持的底层键盘事件挂钩）
鼠标挂钩：7，14（Windows NT/2000/XP支持的底层鼠标事件挂钩）
消息过程挂钩：3
窗口过程挂钩：4
Shell过程挂钩：10
查找窗口：查找进程窗口
查找文件：查找特定文件
创建互斥：创建内核互斥对象

四、
相关注意事项
规则编写、导入后，需要点击“将规则应用于木马行为防御”后，规则才会生效
规则只对无窗口进程有效，即不能通过常规手段进行规则测试，只能自己写无窗口程序或用病毒样本进行测试


用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)

附件: 正则表达式入门教程.rar

本人规则分享
未经严格测试，用于技术交流，转载修改请注明出处

由于目前瑞星2009对正则匹配尚有问题，可能部分规则不能奏效。已上报瑞星，但相信瑞星会在最近更新中修改。

欢迎各位拍砖，哈:default6:

附件: 奇才交流版规则_090125.rar

当前规则明细


共41条规则，2009-1-25更新
**********************************************************************
[B类]保护性规则
可疑beep.sys操作
敏感：低
指令序列：
1 篡改%windir%\system32\drivers\beep.sys
可疑gho文件操作
敏感：中
指令序列：
1 查找后缀为gho文件
2 篡改后缀为.gho文件，文件名正则匹配“\w+\.gho”
可疑gho文件检索
敏感：中
指令序列：
1 查找文件名包含“.gho”
可疑创建hiv文件
敏感：中
病毒特征：激活释放的文件
指令序列：
1 创建文件后缀是“hiv”
可疑安全模式键修改
敏感：中
指令序列：
1 修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
可疑文件关联修改
敏感：中
指令序列：
1 注册表修改，键正则匹配：“\bHKEY_CLASSES_ROOT\\\.w+\b”
**********************************************************************
[C类]可疑病毒、木马
可疑U盘病毒 01
敏感：中
病毒特征：释放Win32_exe文件
指令序列：
1 任意操作文件名（不含路径）是“autorun.inf”
可疑下载型病毒 01
敏感：低
指令序列：
1 在目录%temp%创建PE文件
2 创建目录为%temp%的PE文件进程
可疑下载型病毒 02
敏感：低
病毒特征：激活释放文件
指令序列：
1 在目录%temp%任意操作文件
2 篡改目录%windir%下文件
可疑后门 01
敏感：中
病毒特征：激活释放文件，释放并加载远程动态库
指令序列：
1 创建进程名包含iexplore
可疑后门 02
敏感：中
病毒特征：释放Win32_exe文件
指令序列：
1 创建进程名包含svchost
可疑感染型病毒 01
敏感：低
指令序列：
1 查找文件，目录名包含“?:\”，文件名正则匹配“*\.exe|*\.dll”
2 修改文件，目录名包含“?:\”，文件名正则匹配“*\.exe|*\.dll”
可疑感染型病毒 02
敏感：低
指令序列：
1 查找文件，目录名包含“?:\”
2 修改文件，目录名包含“?:\”，文件名为PE文件
可疑木马 01
敏感：中
病毒特征：释放并加载全局钩子，释放Win32_Dll文件
可疑木马 02
敏感：中
病毒特征：弱自复制
指令序列：
1 远程线程，文件名包含Explorer
可疑木马 03
敏感：中
病毒特征：释放Win32_Dll
指令序列：
1 修改键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
可疑木马 04
敏感：中
病毒特征：释放Win32_Dll
指令序列：
1 窗口钩子，主文件为PE文件，子文件为dll文件，挂键盘钩子（2）
可疑木马 05
敏感：中
指令序列：
1 创建PE文件
2 挂键盘钩子（2）
可疑木马 06
敏感：中
指令序列：
1 创建PE文件
2 挂键盘钩子（13）
可疑木马 07
敏感：中
指令序列：
1 创建PE文件
2 挂鼠标钩子（7）
可疑木马 08
敏感：中
指令序列：
1 创建PE文件
2 挂鼠标钩子（14）
可疑木马 09
敏感：中
指令序列：
1 创建PE文件
2 挂窗口消息钩子（4）
可疑木马 10
敏感：中
指令序列：
1 创建PE文件
2 挂消息过程钩子（3）
可疑木马 11
敏感：中
病毒特征：释放Win32_Dll文件
指令序列：
1 在目录%windir%\system32创建文件
2 任意操作%windir%\system32\drivers目录内文件
可疑病毒 01
敏感：低
病毒特征：激活释放的文件，释放Win32_Exe
1 创建文件至目录正则匹配“\b(%temp%|%windir%)\w*”
可疑病毒 02
敏感：中
病毒特征：强自复制，激活释放的文件
可疑病毒 03
敏感：中
病毒特征：弱自复制，激活释放的文件
可疑病毒 04
敏感：中
病毒特征：释放驱动程序，释放并加载远程动态库
可疑病毒 05
敏感：中
病毒特征：弱自复制，弱自启动
可疑病毒 06
敏感：中
病毒特征：强自复制，强自启动
可疑病毒 07
敏感：中
病毒特征：弱自复制，释放服务程序
可疑病毒 08
敏感：中
病毒特征：强自复制，释放服务程序
可疑病毒 09
敏感：中
指令序列：
1 创建文件至目录%temp%
2 修改文件至驱动目录和备份目录，目录正则匹配“\b(%windir%\\system32\\dllcache|%windir%\\system32\\drivers)\w*”

**********************************************************************
[D类]
可疑cmd创建
敏感：中
指令序列：
1 创建进程，文件路径是“%windir%\system32\cmd.exe”
可疑ntsd创建
敏感：中
指令序列：
1 创建进程，文件名包含“ntsd.exe”
可疑explorer注入
敏感：中
指令序列：
1 远程线程，文件路径是“%windir%\explorer.exe”
可疑svchost注入
敏感：中
指令序列：
1 远程线程，文件路径是“%windir%\system32\svchost.exe”
可疑行为01
敏感：中
病毒特征：释放并加载驱动
可疑行为02
敏感：中
病毒特征：释放并加载动态库

可疑行为03
敏感：中
指令序列：
1 挂Shell钩子（10）
可疑行为 04
敏感：中
病毒特征：激活释放的文件
指令序列：
1 修改目录正则匹配“\b%windir%\\system32\\drivers\w*”
可疑行为 05
敏感：中
病毒特征：激活释放的文件
指令序列：
1 篡改文件%windir%目录下PE文件
可疑行为 05
敏感：中
病毒特征：激活释放的文件
指令序列：
1 篡改系统目录下PE文件，目录包含%windir%
可疑行为 06
敏感：中
病毒特征：激活释放的文件
指令序列：
1 篡改临时目录文件，目录包含%temp%
2 创建进程，目录包含%temp%

:default6: 写的不错呀，我下载了看看

很不错啊  顶~!~!
    大家试试

写的不错，可咱不会用。

学习了,我也来测试

该用户帖子内容已被屏蔽

谢谢分享，有多少朋友测试过，准确率高吗？斑竹自己肯定测试过。

真是好帖啊！！！！不错啊！！！！

:default9: 要是官方能发布下规则最好，毕竟这个不是一般人都能懂的……

能编写规则是好事，众人拾柴火焰高！！

帮忙顶一下了。但想请教一个问题，我导入了下载的规则之后点击“将记录应用于木马行为防御”后弹出了一个叫“失败”的窗口，说的是“根据设定规则，生成恶意行为库文件失败！”，想问问导入成功了没？

:kaka1: 非常不错，支持支持！

规则条数太多了，我猜测的问题。我测试所得37条以下就能正常应用。
我已经上报瑞星公司了，等待回复

哦，原来如此，非常感谢你的回复，希望瑞星尽快完善咯（小发现：貌似09的语言包没了日语部分，哈，今天被一个日本朋友问倒我了）。
PS：恕我问一个愚蠢的问题，导入了那些规则后是要对每条规则都执行一次“将记录应用于木马行为防御”，还是全部导入后只执行那个一次就可以了？谢谢。

执行一次就行了，我删去了几条规则，重新上传了。目前我的机子能导入了，还在等待瑞星官方说话，反正测试期间发布的说明书里没写过规则条数限制的问题。
呵呵

En，好的，非常感谢你的指导。

我一次导入，没发现异常。重新上传的比20号上传的更精准吗？

楼住在出个最新的规则啊  支持哦

顶！

瑞星2009经过几次更新，测试所得瑞星木马拦截支持自定义正则匹配式
已上传修改后相关规则

是41条规则，谢谢斑竹的义举。

不错，瑞星越来越成熟了。

我的2009瑞星没有楼主的图上显示的的检查更新的按钮.:default4:

ding!

懂也不懂...牡蠣學習

木马行为编辑器无法导入，也无法编辑，无法输入文字，添加文件等按钮是灰色不可用。

木马行为编辑器无法导入，也无法编辑，无法输入文字，添加文件等按钮是灰色不可用。

有很多误报啊..应该修改一些东西