瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群

1234   2  /  4  页   跳转

[原创] 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群

收藏
本主题由 大版主 baohe 于 2009-2-10 16:57:53 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-02-02 18:46 | 只看楼主 短消息 资料
字号: 11楼

回复: 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群



引用:
原帖由 SpeW 于 2009-2-2 18:41:00 发表
那个数字文件是驱动我已经知道(和技术团队探讨的时候了解的)  不过你还是没回答内核EXE是不是驱动的问题,如果不是它到底是个什么玩意?


去问专业人士。我是外行。
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-02-02 18:53 | 短消息 资料
字号: 12楼

回复: 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群

那不好意思 问的太怪了  我还是去问技术团队好了
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-02-02 20:39 | 短消息 资料
字号: 13楼

回复:用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群

哈哈 猫叔已经会用这个编辑器拉  继续研究哦
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-02-02 21:12 | 只看楼主 短消息 资料
字号: 14楼

回复: 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群



引用:
原帖由 newcenturymoon 于 2009-2-2 20:39:00 发表
哈哈 猫叔已经会用这个编辑器拉  继续研究哦


感谢你的教程哦!学到不少知识。
好在这个病毒主体的关键动作比较少,俺瞎猫碰死耗子般地蒙出来这么个办法。那个“释放内核.exe”的选择------还是根据病毒写入的注册表信息反推/猜出来的。汗!
不过,我觉得这DD还真是面向专业人员的工具。要想用好这个工具,还要现学啥“正则表达式”,还要学反汇编吧?

天书一般的DD。 难!
最后编辑baohe 最后编辑于 2009-02-02 21:16:54
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-02-02 21:22 | 短消息 资料
字号: 15楼

回复: 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群



引用:
原帖由 baohe 于 2009-2-2 21:12:00 发表


引用:
原帖由 newcenturymoon 于 2009-2-2 20:39:00 发表
哈哈 猫叔已经会用这个编辑器拉  继续研究哦


感谢你的教程哦!学到不少知识。

不过,我觉得这DD还真是面向专业人员的工具。要想用好这个工具,还要现学啥“正则表达式”,还要学反汇编吧?


如果要是 想把规则编的巧 那最好还是学汇编 直接反 病毒
比如我给猫叔的那个 规则的A类 近期流行病毒木马群 规则是这样的 创建互斥量 名称包含 ctm  这就是反汇编看的  这个规则就是针对目前那堆usp10.dll木马群的
还有usp10.dll那个 病毒在初始化的时候也建立了个互斥量puuyt
猫叔可以试着 建一个规则 是API规则
创建互斥量  名称为puuyt  看看是不是 病毒刚运行 没释放文件就报~·
这就是最偷巧的方法
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-02-02 21:25 | 只看楼主 短消息 资料
字号: 16楼

回复 18F newcenturymoon 的帖子

谢谢指教。
我试试去。
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-02-02 21:37 | 只看楼主 短消息 资料
字号: 17楼

回复 18F newcenturymoon 的帖子

不错哦!上图:






若用工具阻止瑞星终止病毒进程,病毒在%windows目录释放的dll还可加载运行。若允许瑞星终止进程,病毒就死了。不错!
最后编辑baohe 最后编辑于 2009-02-02 21:42:47
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-02-02 22:03 | 短消息 资料
字号: 18楼

回复:用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群

猫叔 可以继续研究研究这个东东哦 很好玩的
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-02-02 22:10 | 短消息 资料
字号: 19楼

回复:用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群

猫叔
gototop
 
天月来了
头像
版主
  • 帖子:76897
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-02-03 13:45 | 短消息 资料
字号: 20楼

回复:用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群



学不上
gototop
 
<<上一主题|下一主题>>
1234   2  /  4  页   跳转
页面顶部
Powered by Discuz!NT