瑞星木马行为防御模块式自定义规则(7.18更新) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星杀毒软件2011 瑞星木马行为防御模块式自定义规则(7.18更新)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 7 页

跳转页

[原创] 瑞星木马行为防御模块式自定义规则(7.18更新)

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-01-27 13:16 \| 只看楼主短消息资料字号：小中大 11楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 未命名.JPG (146.70 K) 2009-1-27 13:16:04
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

4443434 横据古稀狮帖子:11080 注册: 2007-05-07 来自:rising茶馆	发表于： 2009-01-27 13:18 \| 短消息资料字号：小中大 12楼回复：大家一起防木马----我们需要模块式规则(1.27更新) 不错``多整点
4443434 横据古稀狮帖子:11080 注册: 2007-05-07 来自:rising茶馆

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-01-27 13:49 \| 只看楼主短消息资料字号：小中大 13楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 引用: 原帖由 4443434 于 2009-1-27 13:18:00 发表不错``多整点又多编了2条规则,正在测试,没问题的话明天会更新出来
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-01-27 13:56 \| 短消息资料字号：小中大 14楼回复：大家一起防木马----我们需要模块式规则(1.27更新) 从你的规则来看很乱不妨我们这样讨论下盗号木马的规则盗号木马可能有如下行为（指我们规则编辑器能监控到的） 1.创建Shellexehooks ,Appint Dlls 等的关键启动项 2.释放Win32_dll 3.注入Explorer.exe等进程 4.使用SetWindowsHookEx等函数设置挂钩监控鼠标键盘等等这样我们可以把他的行为拆开编辑几个行为规则 1创建Shellexehooks 释放Win32_dll 2Appint Dlls 释放Win32_dll 3.注入Explorer.exe 释放Win32_dll 4.SetWindowsHookEx等函数设置挂钩释放Win32_dll 这样是不是更细呢？你那样的所谓规则用到的API是不是很少呢规则描述是不是很笼统呢？
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-01-27 14:09 \| 短消息资料字号：小中大 15楼回复：大家一起防木马----我们需要模块式规则(1.27更新) 你的规则似乎只用到了文件操作这一个规则其他的没用到文件规则这个才最容易误报～～而且你的规则没有通用性人家的系统一定装在C盘麽？为什么不用环境变量呢？还有保护安全工具的基本上用不到人家也不一定有 newcenturymoon 最后编辑于 2009-01-27 14:20:22
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-01-27 14:12 \| 短消息资料字号：小中大 16楼回复：大家一起防木马----我们需要模块式规则(1.27更新) 再举个例子后门病毒 1.复制自身 2.创建服务 3.启动IE等进程同样可以拆成几个规则 1.复制自身创建服务 2.复制自身启动IE等进程这样是不是更“模块化”些呢？你说你的规则没误报？打补丁的时候不一样叫人家“加入到白名单”麽？所以还是最好先用一些监控工具看看某些病毒的“规定”动作再说
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-01-27 14:22 \| 短消息资料字号：小中大 17楼回复：大家一起防木马----我们需要模块式规则(1.27更新) 那个感染型病毒加了个强自复制可能会导致很多感染型病毒报不出来～有些病毒不会复制自身而是直接感染还不如这样做两条规则一是遍历文件二是修改文件
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-01-27 15:11 \| 只看楼主短消息资料字号：小中大 18楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 引用: 原帖由 newcenturymoon 于 2009-1-27 13:56:00 发表从你的规则来看很乱不妨我们这样讨论下盗号木马的规则盗号木马可能有如下行为（指我们规则编辑器能监控到的） 1.创建Shellexehooks ,Appint Dlls 等的关键启动项 2.释放Win32_dll 3.注入Explorer.exe等进...... 这个太细了会和内置规则重复我故意弄的笼统一点的
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-01-27 15:14 \| 只看楼主短消息资料字号：小中大 19楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 又不是天天打补丁加下白名单不会太麻烦还有,造成这样的问题本质还是因为不知道你们瑞星究竟内置了什么规则,建议2010版改一下吧
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-01-27 15:20 \| 只看楼主短消息资料字号：小中大 20楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 引用: 原帖由 newcenturymoon 于 2009-1-27 14:22:00 发表那个感染型病毒加了个强自复制可能会导致很多感染型病毒报不出来～有些病毒不会复制自身而是直接感染还不如这样做两条规则一是遍历文件二是修改文件这个问题我编的时候也注意到了,编的太多也不好,太细又和内置规则重复,所以感染型的病毒我一直在测试该怎么编规则最好.(现在只有少数的感染规则也只是先发上来给大家用用,我也说了欢迎各路高手都来参加编规则的,不是就我一个人奋斗) 一是遍历文件二是修改文件这个建议不错,我会继续研究,找到好方法会发上来的感谢技术团队的支持(提这么多意见不容易,谢谢了)
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

<<上一主题|下一主题>>

2 / 7 页

跳转页

页面顶部

Powered by Discuz!NT