rstgl - 2009-1-28 19:04:00
比如,木马行为编辑器规则:病毒指令,API,创建进程,目录名包含?:\,文件名不含路径正则表达式如何才能匹配除REGSVR32和CONIME外的所有,主文件类型数值等于2。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
pigboy - 2009-1-28 19:55:00
设置不包含REGSVR32和CONIME不就行了吗:kaka2:
rstgl - 2009-1-28 20:19:00
楼上的你看过木马行为编辑器吗?那个只有包含和包含于没有不包含。
pigboy - 2009-1-28 20:36:00
呵呵 我没看过怎么回答你呢 只是我的防御编辑器现在打不开 一会告诉你具体操作
pigboy - 2009-1-28 20:47:00
先设置需要添加的监控
然后添加文件 监控对象 监控规则:文件名,不包含路径--数值等于(没有不包含,上面说错) 把REGSVR32和CONIME添加进规则 测试一下看看就知道了:default6:
天下奇才 - 2009-1-28 21:21:00
正则表达可以设置不包含的,你自己看看
rstgl - 2009-1-28 21:23:00
你连数值等于都用错了。那个只有0,1,2三个值。而且我是不监控REGSVR和CONIME,其余的都监控。而我不打算把REGSVR和CONIME加入白名单。
rstgl - 2009-1-28 21:27:00
奇才呀,你到是说清楚了。我知道怎么用正则排除,我就不问了。难道木马行为编辑器还支持用IF语句判断写个几行的正则表达式吗?
天下奇才 - 2009-1-28 21:33:00
正则式中有个反义,你看看,你要的是不是这个功能
天下奇才 - 2009-1-28 21:41:00
例如,
\b[a-z]:\\\w+\\(?<!REGSVR32\\)
表示不存在REGSVR32的串(不知道有没有写错,你再检查检查)
反义外加零宽断言是可以表示的,但是没测试过瑞星的引擎是否支持
rstgl - 2009-1-28 22:46:00
先谢了,有空测试一下。
rstgl - 2009-1-29 15:18:00
奇才,经测试你的方法没有通过。
© 2000 - 2025 Rising Corp. Ltd.