回复: 瑞星木马行为防御规则用法和范例
六、U盘病毒的防范U盘病毒是在可移动存储或者其他分区根目录创建autorun.inf并将自身复制到相应的盘中的一种病毒,我们可以这样设置规则防范U盘病毒。
病毒特征:强自复制
文件规则
任意操作文件 文件名-不包含路径-包含-autorun.inf
此规则的含义是:当有病毒复制自身,并创建(修改)autorun.inf文件时则报警。
七、保护特殊进程某些特殊进程容易被病毒注入,因此我们可以对其加以保护
如保护iexplore.exe进程
API规则
远程线程:被注入进程-文件名,不包含路径-包含-iexplore
该规则的含义是:如果病毒注入了iexplore则报警。
类似的还可以保护Explorer.exe,svchost.exe等。
八、监控容易被病毒调用的程序很多病毒可以调用系统中的某些文件做坏事,如调用ntsd结束杀毒软件,调用cmd删除自身等等,调用iexplore.exe,svchost.exe联网等,可以设置类似规则防止。
API规则
创建进程 被启动进程-文件名,不包含路径-包含-ntsd.exe
则有病毒启动ntsd.exe时候就报警。
九、关键注册表项的监控某些注册表项是病毒经常修改的,我们可以对其进行监控。
比如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下面的CheckedValue值,该值正常为1,病毒经常修改它导致
隐藏文件不可见,我们可以设置规则监控该值的修改。
注册表规则
监控的键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
监控的值CheckedValue
监控规则:注册表数据-数值等于1
当然我们可以对HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL整个键进行监控,此时只需填写
监控的键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
并勾选目标是键选项。
其他的规则大家可以探索着添加,这篇文章只是抛砖引玉,大家可以添加更符合自身电脑环境的规则以使得瑞星的木马行为规则更加强大。附两张木马行为规则报警时候的截图:
盗号木马
U盘病毒