瑞星卡卡安全论坛

说明:本规则是模块化,不针对具体的病毒,而是将各类病毒的动作拆开分析后对它们普遍的单个动作进行防御.大部分病毒基本都会多少报出一两个动作.误报不多，菜鸟可以使用。
附:为了此次做的完善,更新一个辅助工具的防御型规则,防关闭冰刃窗口(有冰刃的选用,规则在下面单独列出下载),能防止病毒同过窗口发送消息过模拟按键关闭冰刃.至于瑞星和卡卡的此类防护,可疑病毒9就是了.

导入规则的方法：

在工具中找到木马行为编辑器点击运行

然后点击导入，在弹出的窗口中选中规则文件点确定
将规则都导入后最后记得点将“记录应用于木马行为防御”


 

附件: 木马行为防御规则.rar (2009-7-18 20:42:37, 18.74 K)
该附件被下载次数 538

 
7.18更新：将所有规则做了优化，去掉了一些误报多的规则，根据最近的病毒天加了一些新规则。本次做的更新尽量作到大众化使菜鸟也能使用。

注：欢迎大家测试规则，遇到不报的毒请大家发样本上来以便分析

看帖记要得回帖，谢谢！:kaka12:

保护冰刃的规则

附件: 防关闭冰刃窗口.rar (2009-2-11 8:50:34, 459 B)
该附件被下载次数 480

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )

附件: 未命名.JPG

:kaka1: 感谢分享。

建议大家将下图的两项选为提示(即便高级别这两项也是默认放过)

貌似你这个规则 误报会更多  有在C盘下创建 修改文件就会报～～

你可以自己试一下 不要没用就乱说  发现你每次都这样:default3:    本人实机测试 误报极少

谢谢楼主分享，我试一下:default1:

误报少 那么病毒的报出率呢？

我喜欢和高手较量，可真正的高手出牌是没有规则的，相信对付有规则的病毒活动，瑞星早就轻车熟路了，想玩行为编辑器，好好学习习吧。
大家一同努力。好好学习。

后门启动  替换系统文件  可疑病毒(部分已测) 都能报出  木马下载器正在找病毒测试中(根据规则的设置来看 应该是能包的)

模块化规则 就是要在没有规则中 找到它门共有的某些规则

不错``多整点

又多编了2条规则,正在测试,没问题的话明天会更新出来

从你的规则来看 很乱
不妨我们这样讨论下
盗号木马的规则
盗号木马 可能有如下行为（指我们规则编辑器能监控到的）
1.创建Shellexehooks ,Appint Dlls 等的关键启动项
2.释放Win32_dll
3.注入Explorer.exe等进程
4.使用SetWindowsHookEx等函数设置挂钩 监控鼠标键盘等等
这样我们可以把他的行为拆开
编辑几个行为规则
1创建Shellexehooks  释放Win32_dll
2Appint Dlls 释放Win32_dll
3.注入Explorer.exe 释放Win32_dll
4.SetWindowsHookEx等函数设置挂钩  释放Win32_dll

这样是不是更细呢？你那样的所谓规则用到的API是不是很少呢 规则描述是不是很笼统呢？

你的规则似乎只用到了 文件操作这一个规则
其他的没用到
文件规则这个才最容易误报～～
而且你的规则没有通用性  人家的系统一定装在C盘麽？
为什么不用环境变量呢？
还有保护安全工具的 基本上用不到 人家也不一定有

再举个例子
后门病毒
1.复制自身 2.创建服务 3.启动IE等进程
同样可以拆成几个规则
1.复制自身 创建服务
2.复制自身 启动IE等进程

这样是不是更“模块化”些呢？  你说你的规则没误报？ 打补丁的时候 不一样叫人家“加入到白名单”麽？ 所以还是最好先用一些监控工具看看某些病毒的“规定”动作再说

那个 感染型病毒
加了个 强自复制 可能会导致 很多感染型病毒报不出来～
有些病毒不会复制自身 而是直接感染
还不如这样做两条规则
一是 遍历文件
二是 修改文件

这个太细了会和内置规则重复  我故意弄的笼统一点的

又不是天天打补丁 加下白名单不会太麻烦 还有,造成这样的问题本质还是因为不知道你们瑞星究竟内置了什么规则,建议2010版改一下吧:default6:

这个问题我编的时候也注意到了,编的太多也不好,太细又和内置规则重复,所以感染型的病毒我一直在测试该怎么编规则最好.(现在只有少数的感染规则也只是先发上来给大家用用,我也说了欢迎各路高手都来参加编规则的,不是就我一个人奋斗)
一是 遍历文件
二是 修改文件 这个建议不错,我会继续研究,找到好方法会发上来的
感谢技术团队的支持(提这么多意见不容易,谢谢了):default6:

瑞星系统加固难道对 创建Shellexehooks ,Appint Dlls 等的关键启动项 都不能监控?(那不太雷人了?)
还有利用那个函数挂钩子 瑞星监控全局挂钩子会无视这个动作吗?
如果瑞星内置的主防监控不到的话,我会把这些加上去的

仔细查了一下就Appint Dlls这个瑞星没监控 但是卡卡好像设置了免疫 RIS到底对它起不起监控作用?

感谢分享:default5:

系统加固中有这些敏感键值的 但系统加固是针对单个行为的 木马行为防御是可以针对一连串行为的规则
和系统加固的规则不冲突的 你可以放心的去编写
而且木马行为防御内置规则和 自定义规则有重复也没关系 不会冲突
系统加固中 有Appint Dlls 的规则

规则太粗了吧。
如果楼主害怕重复，可以试下瑞星的内置规则呗，拿不报的样本来分析。。。

规则虽粗,但误报很少:default6:
里面很多的规则就是针对绕过主防的病毒编的,例如防篡改显示隐藏文件,替换系统文件

你装软件试试～～

制作规则包需要很多的样本实验、很多的实践  不是这样找一些代表性文件就可以代表全部的吖  需要不断的去实践  最后才能拿出来给大众使用吖  建议楼主把不完善的规则包先删除掉  搞出相对完善的测试规则在发上来的好:default6:

我发之前自己是测过的 但是不具有普遍性 所以才发过来给你门用 有问题跟帖 我再改

我晕  感情拿来论坛测试...  会害死人的:default3: