瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Tiny与“磁碟机”PK——三条规则对N个变种

12   1  /  2  页   跳转

Tiny与“磁碟机”PK——三条规则对N个变种

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-23 22:22 | 只看楼主 短消息 资料
字号: 1楼

Tiny与“磁碟机”PK——三条规则对N个变种

磁碟机作者一直不变更其病毒文件的名称及位置。调侃它几次了,还是不改。汗!
对于这样的死脑筋一族病毒,用HIPS类工具,比较容易实现磁碟机的防范。
以下是Tiny的例子。只在File Protection部设置了这三条高权限规则,目前所见到的所有磁碟机变种就没戏了(实机测试证实)。

注:每条规则中的Appliction 栏均选择“by ID”、“*”。


图1:禁止病毒驱动规则中object之详细设置

[用户系统信息]Opera/9.24 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:312
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-23 22:22:10
描述:
预览信息:EXIF信息



最后编辑2008-01-24 11:00:39.467000000
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-23 22:23 | 只看楼主 短消息 资料
字号: 2楼

禁止病毒驱动规则设置完成

附件附件:

下载次数:262
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-23 22:23:27
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-23 22:24 | 只看楼主 短消息 资料
字号: 3楼

禁止病毒库文件规则中object之详细设置

附件附件:

下载次数:242
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-23 22:24:19
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-23 22:24 | 只看楼主 短消息 资料
字号: 4楼

禁止病毒库文件规则设置完成

附件附件:

下载次数:262
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-23 22:24:57
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-23 22:25 | 只看楼主 短消息 资料
字号: 5楼

禁止病毒可执行文件规则中object之详细设置

附件附件:

下载次数:258
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-23 22:25:29
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-23 22:25 | 只看楼主 短消息 资料
字号: 6楼

禁止病毒可执行文件规则设置完成

附件附件:

下载次数:332
文件类型:image/pjpeg
文件大小:
上传时间:2008-1-23 22:25:53
描述:
预览信息:EXIF信息
gototop
 
流星陨落
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-04-17
  • 来自:
发表于: 2008-01-23 23:56 | 短消息 资料
字号: 7楼

占楼先
gototop
 
豪斯登堡新郎
头像
社区嘉宾
  • 帖子:4234
  • 注册: 2007-11-09
  • 来自:
发表于: 2008-01-24 09:01 | 短消息 资料
字号: 8楼

路过……再次留下脚印
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-01-24 09:50 | 短消息 资料
字号: 9楼

病毒作者已被猫叔憋进死角了,给他三条路
1 缴械投降
2 赶快改
3 挖个洞
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-24 10:41 | 只看楼主 短消息 资料
字号: 10楼

引用:
【lqqk7的贴子】病毒作者已被猫叔憋进死角了,给他三条路
1 缴械投降
2 赶快改
3 挖个洞
………………

瑞星2008的“主动防御”也可以挡住目前所见的所有磁碟机变种。
只是设置上比Tiny的设置复杂些。稍后公布瑞星2008主动防御抵抗“磁碟机”的设置参考。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT