瑞星木马行为防御模块式自定义规则(7.18更新) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星杀毒软件2011 瑞星木马行为防御模块式自定义规则(7.18更新)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

3 / 7 页

跳转页

[原创] 瑞星木马行为防御模块式自定义规则(7.18更新)

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-01-27 15:45 \| 只看楼主短消息资料字号：小中大 21楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 引用: 原帖由 newcenturymoon 于 2009-1-27 13:56:00 发表从你的规则来看很乱不妨我们这样讨论下盗号木马的规则盗号木马可能有如下行为（指我们规则编辑器能监控到的） 1.创建Shellexehooks ,Appint Dlls 等的关键启动项 2.释放Win32_dll 3.注入Explorer.exe等进...... 瑞星系统加固难道对创建Shellexehooks ,Appint Dlls 等的关键启动项都不能监控?(那不太雷人了?) 还有利用那个函数挂钩子瑞星监控全局挂钩子会无视这个动作吗? 如果瑞星内置的主防监控不到的话,我会把这些加上去的
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-01-27 16:06 \| 只看楼主短消息资料字号：小中大 22楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 仔细查了一下就Appint Dlls这个瑞星没监控但是卡卡好像设置了免疫 RIS到底对它起不起监控作用?
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

1輩吇筷楽卡卡巡查帖子:22087 注册: 2008-09-21 来自:	发表于： 2009-01-27 16:38 \| 短消息资料字号：小中大 23楼回复：大家一起防木马----我们需要模块式规则(1.27更新) 感谢分享
1輩吇筷楽卡卡巡查帖子:22087 注册: 2008-09-21 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-01-27 17:00 \| 短消息资料字号：小中大 24楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 引用: 原帖由 SpeW 于 2009-1-27 15:45:00 发表 [quote] 原帖由 newcenturymoon 于 2009-1-27 13:56:00 发表从你的规则来看很乱不妨我们这样讨论下盗号木马的规则盗号木马可能有如下行为（指我们规则编辑器能监控到的） 1.创建Shellexehooks ,Ap...... 系统加固中有这些敏感键值的但系统加固是针对单个行为的木马行为防御是可以针对一连串行为的规则和系统加固的规则不冲突的你可以放心的去编写而且木马行为防御内置规则和自定义规则有重复也没关系不会冲突系统加固中有Appint Dlls 的规则 Snap1.jpg (55.63 K) 2009-1-27 16:59:51
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

有问题找我特邀体验者帖子:2495 注册: 2004-08-29 来自:	发表于： 2009-01-28 00:07 \| 短消息资料字号：小中大 25楼回复：大家一起防木马----我们需要模块式规则(1.27更新) 规则太粗了吧。如果楼主害怕重复，可以试下瑞星的内置规则呗，拿不报的样本来分析。。。
有问题找我特邀体验者帖子:2495 注册: 2004-08-29 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-01-28 11:20 \| 只看楼主短消息资料字号：小中大 26楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 引用: 原帖由有问题找我于 2009-1-28 0:07:00 发表规则太粗了吧。如果楼主害怕重复，可以试下瑞星的内置规则呗，拿不报的样本来分析。。。规则虽粗,但误报很少里面很多的规则就是针对绕过主防的病毒编的,例如防篡改显示隐藏文件,替换系统文件 SpeW 最后编辑于 2009-01-28 11:29:24
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2009-01-28 11:26 \| 短消息资料字号：小中大 27楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 引用: 原帖由 SpeW 于 2009-1-28 11:20:00 发表引用: 原帖由有问题找我于 2009-1-28 0:07:00 发表规则太粗了吧。如果楼主害怕重复，可以试下瑞星的内置规则呗，拿不报的样本来分析。。。规则虽粗,但误报很少你装软件试试～～
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:	发表于： 2009-01-28 11:29 \| 短消息资料字号：小中大 28楼回复：大家一起防木马----我们需要模块式规则(1.27更新) 制作规则包需要很多的样本实验、很多的实践不是这样找一些代表性文件就可以代表全部的吖需要不断的去实践最后才能拿出来给大众使用吖建议楼主把不完善的规则包先删除掉搞出相对完善的测试规则在发上来的好
pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-01-28 11:32 \| 只看楼主短消息资料字号：小中大 29楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 引用: 原帖由 pigboy 于 2009-1-28 11:29:00 发表制作规则包需要很多的样本实验、很多的实践不是这样找一些代表性文件就可以代表全部的吖需要不断的去实践最后才能拿出来给大众使用吖建议楼主把不完善的规则包先删除掉搞出相对完善的测试规则在发上来的好我发之前自己是测过的但是不具有普遍性所以才发过来给你门用有问题跟帖我再改
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:	发表于： 2009-01-28 11:35 \| 短消息资料字号：小中大 30楼回复: 大家一起防木马----我们需要模块式规则(1.27更新) 引用: 原帖由 SpeW 于 2009-1-28 11:32:00 发表引用: 原帖由 pigboy 于 2009-1-28 11:29:00 发表制作规则包需要很多的样本实验、很多的实践不是这样找一些代表性文件就可以代表全部的吖需要不断的去实践最后才能拿出来给大众使用吖建议楼主把不完善的规则包先删除掉搞出相对完善的测试规则在发上来的好我发之前自己是测过的但是不具有普遍性所以才我晕感情拿来论坛测试... 会害死人的
pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:

<<上一主题|下一主题>>

3 / 7 页

跳转页

页面顶部

Powered by Discuz!NT