关于木马行为编辑器的问题 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星杀毒软件2011 关于木马行为编辑器的问题

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[体验09] 关于木马行为编辑器的问题

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-02-11 14:26 \| 只看楼主短消息资料字号：小中大 1楼关于木马行为编辑器的问题原来对木马行为编辑器编了规则苦于无法验证。后来想出了制作全隐藏的自解压程序发现可以用来验证规则是否有效。用这类自解压程序曾经验证一些规则是有效的，其中这样一条规则：创建文件，主文件类型数值等于2，目录名正则表达式C:\\Program Files\|D:\\Program Files对这两个目录的子目录也是有效的。现在用全隐藏自解压程序来验证已经无效了。木马行为防御已经对全隐藏自解压程序不起作用了，就像对带窗口程序一样。用VBS脚本后台运行全隐藏自解压程序也不起作用。苦于无法再次验证规则有效性了很久，终于又发现了一个办法。某个绿色程序运行后会在后台释放一个程序运行，木马行为防御会根据触发相应规则而报。但是我却发现，当我选择仅放过文件和隔离并删除其结果都是一样，相关文件得以创建并未删除，释放的程序未能运行。也就是说隔离并删除无效。仅放过文件有效。另外更糟糕的是当你删除相关文件并再次运行该程序时，该程序释放程序并运行，效果相当于添加入信任名单。因为选择信任，程序也是不能运行，而要再次运行时才会不拦。而现在选择隔离并删除和仅放过文件其效果和添加入信任名单一样。我用这个程序来验证规则，固然证明规则是有效的，但是却发现上述漏洞，另外发现上面提到的正则表达式规则，对其子目录无效了，不知道是什么原因。另外病毒非得不带窗口吗？对VBS脚本病毒，BAT病毒，利用自解压程序的病毒怎么防呢？万事达回复：此问题已反馈瑞星。 newcenturymoon 最后编辑于 2009-02-12 17:15:21
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	分享到：

piao2008 横据古稀狮帖子:10181 注册: 2008-05-04 来自:东北那嘎达	发表于： 2009-02-11 14:33 \| 短消息资料字号：小中大 2楼回复：对木马行为编辑器感到失望木马行为防御行为编辑器功能介绍及使用说明 http://bbs.ikaka.com/showtopic-8559646.aspx
piao2008 横据古稀狮帖子:10181 注册: 2008-05-04 来自:东北那嘎达

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-02-11 14:36 \| 只看楼主短消息资料字号：小中大 3楼回复: 对木马行为编辑器感到失望楼上答非所问。
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

psp小友初生襁褓狮帖子:31 注册: 2009-02-11 来自:	发表于： 2009-02-11 15:04 \| 短消息资料字号：小中大 4楼回复：对木马行为编辑器感到失望呵呵,也是我喜欢图片和PSP
psp小友初生襁褓狮帖子:31 注册: 2009-02-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-11 18:55 \| 短消息资料字号：小中大 5楼回复: 对木马行为编辑器感到失望那是正则表达试没有包含选项的本来就是没有子目录的你说文件还是释放了也应该是这样瑞星没沙盒的删除文件也只删除可疑文件不删除相关文件还有,可疑文件是能删除的,只是有些情况删不了.
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-02-12 14:16 \| 只看楼主短消息资料字号：小中大 6楼回复: 对木马行为编辑器感到失望楼上的说法不对。我原来用全隐藏自解压程序测试过，点隔离并删除时是会删除相关文件的。至于正则表达式我原来也测试过对子目录也有效的。这些都是原来测试的。现在不但对自解压程序不起作用，我好不容易想到用那个绿色程序测试，结果运行第一遍会报（根据我的规则），运行第二遍就运行释放的程序了。而我并没有把它加入白名单。至于正则表达式对子目录无效也是现在才有的现象。
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-02-12 14:20 \| 只看楼主短消息资料字号：小中大 7楼回复: 对木马行为编辑器感到失望而且正则表达式子目录无效似乎也不尽然。我的规则都大量使用正则表达式，有的规则使用正则表达式对子目录还是有效的，所以不知道到底原因何在。
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:	发表于： 2009-02-12 15:08 \| 只看楼主短消息资料字号：小中大 8楼回复: 对木马行为编辑器感到失望今天再次用那个绿色程序测试。我把那个绿色程序放到某个目录。规则设为在那个目录创建PE文件就报。用的是正则表达式。双击绿色程序，报自定义木马，相关文件有那个绿色程序释放的后台程序。点隔离并删除，释放的程序被删除，但是那个绿色程序没有被删除，不能肯定隔离并删除有效。因为以前是两个都删除的。现在可能只是结束程序。因为那个程序退出时会删除释放的程序。再次双击绿色程序，释放的程序直接运行了，瑞星不报了。瑞星只报第一次，很奇怪！我不明白的是瑞星对所有的程序都只报第一次吗？（有条件的拿病毒测试一下，一定要在报了之后再次运行看看报不报第二次。）还是那个绿色程序太厉害？
rstgl 健康舞勺狮帖子:233 注册: 2009-01-01 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-12 16:39 \| 短消息资料字号：小中大 9楼回复: 对木马行为编辑器感到失望难到不稳定而且不同的人还不一样? 我这绝对正则表达式不含子目录的而且测试N次没一次删除了相关文件仅关闭程序和隔离文件效果不一样我这也完全没问题咋个到你那去了那么多问题不明白你是不是乱测试搞多了弄的机子都有问题了(设置方面)
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:	发表于： 2009-02-12 16:41 \| 短消息资料字号：小中大 10楼回复: 对木马行为编辑器感到失望引用: 原帖由 rstgl 于 2009-2-12 15:08:00 发表今天再次用那个绿色程序测试。我把那个绿色程序放到某个目录。规则设为在那个目录创建PE文件就报。用的是正则表达式。双击绿色程序，报自定义木马，相关文件有那个绿色程序释放的后台程序。点隔离并删除，释放的程序被删除，但是那个绿色程序没有被删除，不能肯定隔离并删除有效。因为以前是两个都删除的。现在可能只是结束程序。因为那个程序退出时会删除释放的程序。再次双击绿色程序，释放的程序直接运行了，瑞星不报了。瑞星我拿USP10.DLL木马群测试----%windir%释放子文件=2 测几次报几次不知道你是不是你可以试一下
SpeW 锋芒艾服狮帖子:1321 注册: 2008-07-11 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT