瑞星木马行为防御自定义规则用法和范例 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星杀毒软件2011 瑞星木马行为防御自定义规则用法和范例

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

[原创] 瑞星木马行为防御自定义规则用法和范例

本主题由卡卡技术团队 newcenturymoon 于 2010-2-22 14:59:30 执行关闭主题/取消操作

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-10-22 22:18 \| 只看楼主短消息资料字号：小中大 1楼瑞星木马行为防御自定义规则用法和范例基于置顶帖对于木马行为编辑器的使用方法描述，我们可以根据病毒的一些特性添加适当的规则以防范某些恶意病毒，现举几例给大家参考：一、常见的盗号木马防范常见的盗号木马一般会释放dll文件，并注入Explorer.exe等进程，设置全局挂钩，并设置ShellExeHooks,AppinitDLLs等键值以便开机加载。因此我们可以设置如下规则病毒记录名称可疑盗号木马在这里我们可以将病毒的动作“分解”开来加规则。 1.注册表部分 2.注入Explorer.exe等进程部分 3.主程序释放文件并设置系统挂钩部分在此就可以拆开成三个可疑盗号木马的规则 1.病毒特征：弱自启动，释放WIN32_DLL文件（该规则的含义是有程序试图释放Win32_DLL文件，并将其设置为启动。弱自启动的含义就是其他程序将他设置为启动） 2.病毒特征：释放WIN32_DLL文件病毒恶意指令序：注册表规则监控的键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 勾选包含子键和目标是键该规则的含义是：如果有程序释放DLL文件，并且往HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks里面写入内容则报警 Snap2.jpg (43.98 K) 2008-10-22 22:17:56 3.病毒特征：释放并加载全局钩子,释放WIN32_DLL文件该规则的含义是：如果有程序释放DLL文件，并设置全局钩子，则报警。 Snap3.jpg (33.50 K) 2008-10-22 22:20:39 用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727) 附件: 文件名:Snap1.jpg 下载次数:8111 文件类型:image/pjpeg 文件大小: 上传时间:2008-10-22 22:17:56 描述:jpg 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 newcenturymoon 最后编辑于 2009-02-11 20:32:12
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	分享到：

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-10-22 22:23 \| 只看楼主短消息资料字号：小中大 2楼回复: 瑞星木马行为防御规则用法和范例二、常见感染型病毒的防范规则感染型病毒一般的特征是：复制自身，遍历exe文件（网页文件，脚本等），修改它们我们可以在遍历文件时候常调用的FindfirstFile函数来监控类似恶意行为。 1.可疑感染型病毒规则之一病毒特征：强自复制 API规则：查找文件监控规则：目录名－包含－?:\ 文件名－字符串是-. 该规则的含义是：当有病毒执行自复制并且遍历目录名中包含?:\且文件名为. 的文件则报警。那么只要病毒调用FindfirstFile函数遍历.文件时候则报警，因为所有的目录都包含":\" ?为通配符代表任意字母 Snap4.jpg (46.44 K) 2008-10-22 22:22:45 2.可疑感染型病毒规则之二病毒特征：强自复制 API规则：查找文件监控规则：目录名－包含－?:\ 文件名－包含-exe 该规则的含义是：当有病毒执行自复制并且遍历目录名中包含?:\且文件名包含exe的文件则报警。 Snap5.jpg (49.58 K) 2008-10-22 22:22:45 3.可疑感染型病毒规则之三病毒特征：强自复制 API规则：查找文件监控规则：目录名－包含－?:\ 文件名－包含-html 该规则的含义是：当有病毒执行自复制并且遍历目录名中包含?:\且文件名包含html的文件则报警。注意：不宜将三个规则合并到一起那样则变为了只有当病毒同时遍历exe和html文件的时候才报警。 Snap6.jpg (32.64 K) 2008-10-22 22:22:45
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-10-22 22:28 \| 只看楼主短消息资料字号：小中大 3楼回复: 瑞星木马行为防御规则用法和范例三、常见后门病毒的防范后门病毒通常释放一个程序，注册服务，并启动一个IE或者其他进程连接网络。根据病毒的特点我们可以设置这样的规则防范后门病毒病毒特征：强自复制,释放服务程序 API规则创建进程监控规则:被启动进程－文件名，不包含路径－包含－iexplore 该操作的含义是：当有病毒复制自身，并启动一个服务，且启动一个进程，该进程的文件名中包含iexplore则报警类似的后门病毒还可能启动svchost,calc等进程，以此类推。 Snap7.jpg (45.33 K) 2008-10-22 22:27:46 四、保护特殊文件夹系统文件夹等文件夹通常是病毒的必争之地，我们可以设置更加严厉的规则保护系统文件夹文件规则：创建文件文件全路径－包含%windir% 主文件类型－数值等于2 创建进程文件全路径－包含%windir% 主文件类型－数值等于2 规则编辑器支持环境变量，因此可以用%windir%代表Windows文件夹或者winnt文件夹，该规则的含义是当有病毒在包含%windir%的目录中创建PE文件并执行它的时候则报警。 Snap13.jpg (27.07 K) 2008-10-22 22:27:46 注意：创建文件在前，创建进程在后。有顺序的。五可疑下载者的防范某些下载者病毒会下载木马或者病毒到temp文件夹或者IE临时文件夹中并启动它们。针对于此我们可以编写类似的规则防范。文件规则：新建文件监控规则：目录名－包含-temp 主文件类型-数值等于-2（2＝PE文件，1＝非PE文件） API规则：创建进程监控规则：目录名－包含-temp 主文件类型-数值等于－2 该规则的含义是：当有进程在目录名中包含temp的目录中创建一个PE文件，并将它启动（创建进程）则报警。 IE临时文件夹Temporary Internet Files目录也包含temp字符，所以此条规则可以同时监控Ie临时文件夹。 Snap8.jpg (26.97 K) 2008-10-22 22:27:46
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-10-22 22:33 \| 只看楼主短消息资料字号：小中大 4楼回复: 瑞星木马行为防御规则用法和范例六、U盘病毒的防范 U盘病毒是在可移动存储或者其他分区根目录创建autorun.inf并将自身复制到相应的盘中的一种病毒，我们可以这样设置规则防范U盘病毒。病毒特征：强自复制文件规则任意操作文件文件名－不包含路径－包含-autorun.inf 此规则的含义是：当有病毒复制自身，并创建（修改）autorun.inf文件时则报警。 Snap9.jpg (41.39 K) 2008-10-22 22:32:52 七、保护特殊进程某些特殊进程容易被病毒注入，因此我们可以对其加以保护如保护iexplore.exe进程 API规则远程线程:被注入进程－文件名，不包含路径－包含-iexplore 该规则的含义是：如果病毒注入了iexplore则报警。类似的还可以保护Explorer.exe,svchost.exe等。 Snap10.jpg (45.45 K) 2008-10-22 22:32:52 八、监控容易被病毒调用的程序很多病毒可以调用系统中的某些文件做坏事，如调用ntsd结束杀毒软件，调用cmd删除自身等等，调用iexplore.exe,svchost.exe联网等，可以设置类似规则防止。 API规则创建进程被启动进程－文件名，不包含路径－包含-ntsd.exe 则有病毒启动ntsd.exe时候就报警。 Snap11.jpg (33.50 K) 2008-10-22 22:32:52 九、关键注册表项的监控某些注册表项是病毒经常修改的，我们可以对其进行监控。比如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下面的CheckedValue值，该值正常为1，病毒经常修改它导致隐藏文件不可见，我们可以设置规则监控该值的修改。注册表规则监控的键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 监控的值CheckedValue 监控规则：注册表数据－数值等于1 当然我们可以对HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL整个键进行监控，此时只需填写监控的键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 并勾选目标是键选项。 Snap12.jpg (35.56 K) 2008-10-22 22:32:52 其他的规则大家可以探索着添加，这篇文章只是抛砖引玉，大家可以添加更符合自身电脑环境的规则以使得瑞星的木马行为规则更加强大。附两张木马行为规则报警时候的截图： Snap1.jpg (36.44 K) 2008-10-22 22:36:22 盗号木马 Snap2.jpg (33.13 K) 2008-10-22 22:36:22 U盘病毒本帖被评分 1 次本帖被评分 1 次 newcenturymoon 最后编辑于 2008-10-22 22:36:22
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

最硬的石头版主帖子:4140 注册: 2008-07-24 来自:	发表于： 2008-10-23 13:22 \| 短消息资料字号：小中大 5楼回复：瑞星木马行为防御自定义规则用法和范例很复杂，收藏拜读
最硬的石头版主帖子:4140 注册: 2008-07-24 来自:

vistalong 卡卡反病毒小组帖子:157 注册: 2008-06-03 来自:	发表于： 2008-10-23 13:24 \| 短消息资料字号：小中大 6楼回复：瑞星木马行为防御自定义规则用法和范例进来学习一下
vistalong 卡卡反病毒小组帖子:157 注册: 2008-06-03 来自:

a1630016900 拙长孩提狮帖子:94 注册: 2006-08-15 来自:	发表于： 2008-10-23 14:37 \| 短消息资料字号：小中大 7楼回复：瑞星木马行为防御自定义规则用法和范例常见防范内置进去就好了
a1630016900 拙长孩提狮帖子:94 注册: 2006-08-15 来自:

天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派	发表于： 2008-10-23 18:28 \| 短消息资料字号：小中大 8楼回复：瑞星木马行为防御自定义规则用法和范例这东西好用啊，如果能极大限度的拦截的话杀毒就不用像中毒以后那么麻烦了汰丸，你妈妈六十大寿让你回家吃饭 http://hi.baidu.com/roxiel
天云一剑叱咤花甲狮帖子:2028 注册: 2008-07-06 来自:知识折旧派

dagaofeng 初生襁褓狮帖子:2 注册: 2005-04-09 来自:	发表于： 2008-10-23 18:34 \| 短消息资料字号：小中大 9楼回复：瑞星木马行为防御自定义规则用法和范例对于新手来说实在是麻烦。
dagaofeng 初生襁褓狮帖子:2 注册: 2005-04-09 来自:

yujiqi 自信弱冠狮帖子:459 注册: 2008-09-08 来自:	发表于： 2008-10-23 18:57 \| 短消息资料字号：小中大 10楼回复：瑞星木马行为防御自定义规则用法和范例真的不适合新手和菜鸟
yujiqi 自信弱冠狮帖子:459 注册: 2008-09-08 来自:

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

页面顶部

Powered by Discuz!NT