昨天发了个病毒测试帖http://bbs.ikaka.com/showtopic-8594052.aspx  结果发现了木马编辑器不足的地方----就是不能监控父子连带关系.什么意思?看了后面的建议就知道了.
  分析上面的病毒帖可以发现,编规则拦这个病毒最大的难点在于它除了释放DLL是自己做的其他的动作都是由services这个系统进程完成的(调用了服务管理器嘛 ,它本来就干这个的),这就造成了问题,不管该病毒在注册表添加服务项也好后门启动svchost并注入DLL挂钩子也好,编辑器都是无法监控的.
  也就是A释放了B,然后在去由C完成任务,这样现有的编辑器想要对付这样的毒就很麻烦.


所以,建议如下:1,每一个恶意指令序列动作动因该可以选择是显(直接做该动作),隐(通过他人做该动作)和任意(不论是显还是隐)三种操作属性(尤其这里隐和任意的时候就什么程序做这个动作都不能放过了,就比如那个services)
  2,添加了某文件类规则后应该可以选择该文件是否被其他程序使用和怎么样使用,例如添加自使用(被释放它的人使用,包括启动<对exe这样的而言>和加载<对dll着样的而言>),被加载(被他人加载<对dll这样的而言>),被启动(被他人启动<对exe这样的而言>),和任意使用(不论上他人或者自己使用<当然也就包括加载和启动2种了>)
  3,注册表监控因该能监控创建注册表键(例如想程序控制那样的)
  4,病毒特征里添加注册服务(这里不管是自己去注册或是调用服务管理器去注册都要监控)和注册启动(此处应该能监控到系统加固里能自启动的项包括Run,ShellExecuteHooks等,而且是不论自己去注册还是通过他人注册,当然服务项不包括了)

  希望能收集此建议,并尽快在后几个版本里改进,只是一个工具而已,改一下没那么困难的吧

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )

楼主的建议已反馈瑞星，感谢您的支持。