1   1  /  1  页   跳转

[体验09] 木马行为检测是否可靠

收藏
rstgl
头像
健康舞勺狮
  • 帖子:233
  • 注册: 2009-01-01
  • 来自:
发表于: 2009-01-28 21:14 | 显示全部 短消息 资料
字号: 1楼

木马行为检测是否可靠

用木马行为编辑器编个规则,用无窗口程序测试,确实弹出提示,可是在我看提示的时候,大概到了倒数7秒时,被控制的程序启动了,点仅放过文件,程序关闭。我就奇怪了,在我还没有做出选择时,瑞星怎么能让程序启动呢?木马行为检测还可靠吗?

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
分享到:
gototop
 
rstgl
头像
健康舞勺狮
  • 帖子:233
  • 注册: 2009-01-01
  • 来自:
发表于: 2009-01-28 21:43 | 显示全部 短消息 资料
字号: 2楼

回复: 木马行为检测是否可靠

我还骗你呀?本来在忙着看提示呢,它程序启动了,点仅放过文件,程序关闭了,哪还有图。但是有记录。
gototop
 
rstgl
头像
健康舞勺狮
  • 帖子:233
  • 注册: 2009-01-01
  • 来自:
发表于: 2009-01-28 21:58 | 显示全部 短消息 资料
字号: 3楼

回复: 木马行为检测是否可靠

这个测试程序后台在C:\Program Files\sina创建cd.exe,note.exe,ok.vbs,vivimin.dll这四个文件,然后运行cd.exe.我的规则是监控创建目录名包含c:\进程。所以这个程序在创建文件时不被报警,但是运行cd.exe时,触发规则,瑞星行为检测报警。但是我在看提示时,到了倒数7秒时,cd.exe启动了。我点仅放过文件时,cd.exe退出。
gototop
 
rstgl
头像
健康舞勺狮
  • 帖子:233
  • 注册: 2009-01-01
  • 来自:
发表于: 2009-01-28 22:13 | 显示全部 短消息 资料
字号: 4楼

回复: 木马行为检测是否可靠

我的意思是在我做出选择之前,被监控程序不应该被放行。这说的还不清楚吗?我双击测试程序D:\wait\ceshi\test\ceshi3.exe,木马行为检测弹出提示发现自定义木马行为,相关文件:C:\Program Files\sina\cd.exe,C:\WINDOWS\system32\conime.exe。因为这个测试程序ceshi3.exe会在C:\Program Files\sina\创建cd.exe,ok.vbs,note.exe,vivimin.dll,并运行cd.exe。运行cd.exe时就触发了我编的测试规则,弹出上述提示。但是在我看提示时,cd.exe运行了,并启动了C:\WINDOWS\system32\conime.exe。直到我做出选择,点仅放过文件时,cd.exe 才退出。我觉得这不应该,cd.exe 不应该启动才对,并且cd.exe 还启动了子进程conime.exe。
gototop
 
rstgl
头像
健康舞勺狮
  • 帖子:233
  • 注册: 2009-01-01
  • 来自:
发表于: 2009-01-28 22:24 | 显示全部 短消息 资料
字号: 5楼

回复: 木马行为检测是否可靠

这个规则是API规则,创建进程的这么一个规则。理所当然被启动进程(本例为C:\Program Files\sina\cd.exe)应该在我做出选择后再按相应选项反应。另外木马行为检测没有放行选项,只有加入信任名单一项。而且选加入白名单仍然被启动进程退出。
gototop
 
rstgl
头像
健康舞勺狮
  • 帖子:233
  • 注册: 2009-01-01
  • 来自:
发表于: 2009-01-28 22:40 | 显示全部 短消息 资料
字号: 6楼

回复: 木马行为检测是否可靠

我不是指ceshi3.exe启动不应该,而是说被ceahi3.exe启动的cd.exe在我做出选择之前运行不应该,尤其是这是一个创建进程的API规则。
gototop
 
rstgl
头像
健康舞勺狮
  • 帖子:233
  • 注册: 2009-01-01
  • 来自:
发表于: 2009-01-28 22:44 | 显示全部 短消息 资料
字号: 7楼

回复: 木马行为检测是否可靠

而且我的这个规则是个单条指令,没有其他指令需要匹配。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT