瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件瑞星杀毒软件2011 瑞星木马行为防御模块式自定义规则(7.18更新)

1234   1  /  4  页   跳转

[原创] 瑞星木马行为防御模块式自定义规则(7.18更新)

收藏
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-26 19:28 | 显示全部 短消息 资料
字号: 1楼

瑞星木马行为防御模块式自定义规则(7.18更新)

说明:本规则是模块化,不针对具体的病毒,而是将各类病毒的动作拆开分析后对它们普遍的单个动作进行防御.大部分病毒基本都会多少报出一两个动作.误报不多,菜鸟可以使用。
附:为了此次做的完善,更新一个辅助工具的防御型规则,防关闭冰刃窗口(有冰刃的选用,规则在下面单独列出下载),能防止病毒同过窗口发送消息过模拟按键关闭冰刃.至于瑞星和卡卡的此类防护,可疑病毒9就是了.

导入规则的方法:

在工具中找到木马行为编辑器点击运行

然后点击导入,在弹出的窗口中选中规则文件点确定
将规则都导入后最后记得点将“记录应用于木马行为防御”


 

附件: 木马行为防御规则.rar (2009-7-18 20:42:37, 18.74 K)
该附件被下载次数 483

 
7.18更新:将所有规则做了优化,去掉了一些误报多的规则,根据最近的病毒天加了一些新规则。本次做的更新尽量作到大众化使菜鸟也能使用。

注:欢迎大家测试规则,遇到不报的毒请大家发样本上来以便分析

看帖记要得回帖,谢谢!

保护冰刃的规则

附件: 防关闭冰刃窗口.rar (2009-2-11 8:50:34, 459 B)
该附件被下载次数 439






用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )

附件附件:

文件名:未命名.JPG
下载次数:2477
文件类型:image/pjpeg
文件大小:
上传时间:2009-1-26 19:28:04
描述:jpg



本帖被评分 3 次
最后编辑SpeW 最后编辑于 2009-07-19 18:17:06
分享到:
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-26 21:53 | 显示全部 短消息 资料
字号: 2楼

回复: 大家一起防木马----我们需要模块式规则

建议大家将下图的两项选为提示(即便高级别这两项也是默认放过)
最后编辑SpeW 最后编辑于 2009-07-18 20:20:13
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-27 10:11 | 显示全部 短消息 资料
字号: 3楼

回复: 大家一起防木马----我们需要模块式规则



引用:
原帖由 newcenturymoon 于 2009-1-26 22:05:00 发表
貌似你这个规则 误报会更多  有在C盘下创建 修改文件就会报~~


你可以自己试一下 不要没用就乱说  发现你每次都这样    本人实机测试 误报极少
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-27 11:02 | 显示全部 短消息 资料
字号: 4楼

回复: 大家一起防木马----我们需要模块式规则



引用:
原帖由 newcenturymoon 于 2009-1-27 10:56:00 发表
误报少 那么病毒的报出率呢?


后门启动  替换系统文件  可疑病毒(部分已测) 都能报出  木马下载器正在找病毒测试中(根据规则的设置来看 应该是能包的)
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-27 11:04 | 显示全部 短消息 资料
字号: 5楼

回复: 大家一起防木马----我们需要模块式规则



引用:
原帖由 想成为狼的兔子 于 2009-1-27 11:02:00 发表
我喜欢和高手较量,可真正的高手出牌是没有规则的,相信对付有规则的病毒活动,瑞星早就轻车熟路了,想玩行为编辑器,好好学习习吧。
大家一同努力。好好学习。


模块化规则 就是要在没有规则中 找到它门共有的某些规则
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-27 13:16 | 显示全部 短消息 资料
字号: 6楼

回复: 大家一起防木马----我们需要模块式规则(1.27更新)
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-27 13:49 | 显示全部 短消息 资料
字号: 7楼

回复: 大家一起防木马----我们需要模块式规则(1.27更新)



引用:
原帖由 4443434 于 2009-1-27 13:18:00 发表
不错``多整点


又多编了2条规则,正在测试,没问题的话明天会更新出来
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-27 15:11 | 显示全部 短消息 资料
字号: 8楼

回复: 大家一起防木马----我们需要模块式规则(1.27更新)



引用:
原帖由 newcenturymoon 于 2009-1-27 13:56:00 发表
从你的规则来看 很乱
不妨我们这样讨论下
盗号木马的规则
盗号木马 可能有如下行为(指我们规则编辑器能监控到的)
1.创建Shellexehooks ,Appint Dlls 等的关键启动项
2.释放Win32_dll
3.注入Explorer.exe等进......


这个太细了会和内置规则重复  我故意弄的笼统一点的
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-27 15:14 | 显示全部 短消息 资料
字号: 9楼

回复: 大家一起防木马----我们需要模块式规则(1.27更新)

又不是天天打补丁 加下白名单不会太麻烦 还有,造成这样的问题本质还是因为不知道你们瑞星究竟内置了什么规则,建议2010版改一下吧
gototop
 
SpeW
头像
锋芒艾服狮
  • 帖子:1321
  • 注册: 2008-07-11
  • 来自:
发表于: 2009-01-27 15:20 | 显示全部 短消息 资料
字号: 10楼

回复: 大家一起防木马----我们需要模块式规则(1.27更新)



引用:
原帖由 newcenturymoon 于 2009-1-27 14:22:00 发表
那个 感染型病毒
加了个 强自复制 可能会导致 很多感染型病毒报不出来~
有些病毒不会复制自身 而是直接感染
还不如这样做两条规则
一是 遍历文件
二是 修改文件


这个问题我编的时候也注意到了,编的太多也不好,太细又和内置规则重复,所以感染型的病毒我一直在测试该怎么编规则最好.(现在只有少数的感染规则也只是先发上来给大家用用,我也说了欢迎各路高手都来参加编规则的,不是就我一个人奋斗)
一是 遍历文件
二是 修改文件 这个建议不错,我会继续研究,找到好方法会发上来的
感谢技术团队的支持(提这么多意见不容易,谢谢了)
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT