我的瑞星我做主-用‘木马行为编辑行为器防范’后门病毒 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星杀毒软件2011 我的瑞星我做主-用‘木马行为编辑行为器防范’后门病毒

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[转载] 我的瑞星我做主-用‘木马行为编辑行为器防范’后门病毒

RingXing小狮子自信弱冠狮帖子:395 注册: 2009-04-30 来自:	发表于： 2009-04-30 17:07 \| 只看楼主短消息资料字号：小中大 1楼我的瑞星我做主-用‘木马行为编辑行为器防范’后门病毒今天我们来学习一下后门病毒防范方法。先来看后门病毒的病毒特征:通常后门病毒运行后会释放一个文件，并将其注册为系统服务，修改注册表，然后随一个进程启动而启动，例如IE。最终实现连接网络，远程控制，下载病毒，像灰鸽子这样的后门病毒就具有以上现象。针对这些行为我们应该如何建立“防御行为规则”呢?感谢瑞星安全工程师/王占涛为我们提供如何使用木马行为编辑器，对于我们普通用户相当实用，我是一个瑞星忠实用户，在看到此篇在CFAN的4月15日上发表的文章就自己动手试试，感觉真的好有成就感，自己也能编写木马防御。瑞星你对用户如此平易近人，相信你会越来越好，不多说了开始我们开始木马行为编译规则一：监控包含特殊进程的文件释放目的：防范后门病毒释放文件，启动服务，通过IE连接网络第一步:运行“木马行为规则编辑器" ,单击左下方的“添加”，建立新规则。病毒记录默认为“中”，作者可以填写自己的名字，网名等，附加信息相当于注释，可以自己填写.（为方便大家我已经自己编辑，大家可以下载) 附件: 您所在的用户组无法下载或查看附件第二步：单击病毒特征后面的"指定”，在弹出的对话框中选择“强自复制"和“释放服务程序”单击“确定”。第三步:单击下方的“添加API”，在“监控对象”中选择“创建进程”，监控规则中分别选择“文件名，不包括路径”，“包含”和iexplore,最后单击“添加”。小提示：这条规则含义就是当具有病毒复制自身，并启动一条服务，且启动一个进程，该进程的文件名又包含iexplore时就报警。规则二：防止病毒文件下载目的：针对后门病毒下载病毒到本机的特征制定规则第一步：按照相同的方法，运行“木马行为规则编辑器→添加→建立规则”。病毒记录名称设定为“后门病毒下载者”，敏感级别“中”，填写作者和注释（规则我也编辑了，大家可以下载）附件: 您所在的用户组无法下载或查看附件第二步：单击下方的“添加文件→监控操作”，选择“新建文件”，监控规则选择“目录名”、“包含”和temp(因为后门下载者通常是将网上的病毒下载到系统的temp文件夹后运行。),单击“添加”。继续选择“监控规则”为“主文件类型”、“数值等于”和2.依次单击“添加→确定”。第三步:单击下方的“添加API”，监控对象选择“创建进程”，监控规则选择“目录名”、“包含”和temp,单击“添加”，监控规则选择“主文件名类型”、“数值等于”和2，单击“添加→确定”。这样，两条比较完整的规则就诞生了。作者；瑞星安全工程师/王占涛附件: 您所在的用户组无法下载或查看附件用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0) 本帖被评分 1 次本帖被评分 1 次
RingXing小狮子自信弱冠狮帖子:395 注册: 2009-04-30 来自:	分享到：

lrxyhrm 叱咤花甲狮帖子:3782 注册: 2008-08-14 来自:吉利	发表于： 2009-04-30 17:15 \| 短消息资料字号：小中大 2楼回复：我的瑞星我做主-用‘木马行为编辑行为器防范’后门病毒学习了。
lrxyhrm 叱咤花甲狮帖子:3782 注册: 2008-08-14 来自:吉利

RingXing小狮子自信弱冠狮帖子:395 注册: 2009-04-30 来自:	发表于： 2009-05-02 16:58 \| 只看楼主短消息资料字号：小中大 3楼回复：我的瑞星我做主-用‘木马行为编辑行为器防范’后门病毒无人问津，自我安慰一下！顶贴!
RingXing小狮子自信弱冠狮帖子:395 注册: 2009-04-30 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2009-05-02 17:55 \| 短消息资料字号：小中大 4楼回复：我的瑞星我做主-用‘木马行为编辑行为器防范’后门病毒《电脑爱好者》里的东东
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

RingXing小狮子自信弱冠狮帖子:395 注册: 2009-04-30 来自:	发表于： 2009-05-24 17:41 \| 只看楼主短消息资料字号：小中大 5楼回复：我的瑞星我做主-用‘木马行为编辑行为器防范’后门病毒恩，是电脑爱好者里的。不过我已经将规则编辑好了，自己下就行了。
RingXing小狮子自信弱冠狮帖子:395 注册: 2009-04-30 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT