瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群

12   1  /  2  页   跳转

[原创] 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群

用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群

防御规则已经设置好,附件就是。下载此帖附件后,将其中规则解压到桌面。
然后,按图操作即可。








4个不同变种的防护效果测试结果,全部有效拦截住了:


附件无密码。

用户系统信息:Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

附件附件:

下载次数:1466
文件类型:application/x-rar-compressed
文件大小:
上传时间:2009-2-7 9:43:24
描述:rar

本帖被评分 1 次
最后编辑baohe 最后编辑于 2009-02-07 09:43:24
分享到:
gototop
 

回复: 用瑞星的“木马防御--行为编辑器”防御usp10.dll木马群



引用:
原帖由 85755211 于 2009-2-2 14:19:00 发表
版主 可我这样已经中了的怎么解决啊 小绿伞变小红伞了

http://bbs.ikaka.com/showtopic-8592394.aspx
gototop
 

回复: 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群



引用:
原帖由 SpeW 于 2009-2-2 18:01:00 发表
问下猫叔  病毒释放内核级EXE 瑞星没反映的?


这个,取决于每个人对瑞星2009“系统加固”部分的具体设置。
设置恰当者,病毒安装/加载驱动时,瑞星2009会回报警并阻止之。

最后编辑baohe 最后编辑于 2009-02-02 18:15:36
gototop
 

回复: 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群



引用:
原帖由 SpeW 于 2009-2-2 18:20:00 发表


引用:
原帖由 baohe 于 2009-2-2 18:13:00 发表
[quote] 原帖由 SpeW 于 2009-2-2 18:01:00 发表
问下猫叔  病毒释放内核级EXE 瑞星没反映的?


这个,取决于每个人对瑞星2009“系统加固”部分的具体设置。
设置恰当者,病毒安装/


temp中的那个1696并无后缀。
起初,我不知它属于哪类程序。
但看过此毒运行过程中其添加注册表内容,有一项为驱动(名为io),io指向的程序就是temp文件夹中的那个1696。由此推测,这个1696可能就是个内核驱动。
gototop
 

回复: 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群



引用:
原帖由 SpeW 于 2009-2-2 18:41:00 发表
那个数字文件是驱动我已经知道(和技术团队探讨的时候了解的)  不过你还是没回答内核EXE是不是驱动的问题,如果不是它到底是个什么玩意?


去问专业人士。我是外行。
gototop
 

回复: 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群



引用:
原帖由 newcenturymoon 于 2009-2-2 20:39:00 发表
哈哈 猫叔已经会用这个编辑器拉  继续研究哦


感谢你的教程哦!学到不少知识。
好在这个病毒主体的关键动作比较少,俺瞎猫碰死耗子般地蒙出来这么个办法。那个“释放内核.exe”的选择------还是根据病毒写入的注册表信息反推/猜出来的。汗!
不过,我觉得这DD还真是面向专业人员的工具。要想用好这个工具,还要现学啥“正则表达式”,还要学反汇编吧?

天书一般的DD。 难!
最后编辑baohe 最后编辑于 2009-02-02 21:16:54
gototop
 

回复 18F newcenturymoon 的帖子

谢谢指教。
我试试去。
gototop
 

回复 18F newcenturymoon 的帖子

不错哦!上图:






若用工具阻止瑞星终止病毒进程,病毒在%windows目录释放的dll还可加载运行。若允许瑞星终止进程,病毒就死了。不错!
最后编辑baohe 最后编辑于 2009-02-02 21:42:47
gototop
 

回复: 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群



引用:
原帖由 蓝色水幻 于 2009-2-6 21:39:00 发表
猫叔,经过昨天测试,
这个规则包会对【easyrecovery6.12】认为是病毒木马
并直接将安装目录内的exe删除(认为是病毒)
多次重装将其设定为“信任”也不管用

最后删除这个规则包才将easyrecovery正常安装和使用(我有2G数据要恢复)



请猫叔测试!


我的影子系统程序与你说的easyrecovery6.12情形一摸一样。将影子添加到白名单中(图),就OK啦。

gototop
 

回复: 用瑞星的“木马行为防御--行为编辑器”防御usp10.dll木马群



引用:
原帖由 蓝色水幻 于 2009-2-6 21:39:00 发表
猫叔,经过昨天测试,
这个规则包会对【easyrecovery6.12】认为是病毒木马
并直接将安装目录内的exe删除(认为是病毒)
多次重装将其设定为“信任”也不管用

最后删除这个规则包才将easyrecovery正常安装和使用(我有2G数据要恢复)



请猫叔测试!


找来easyrecovery6.12试验过了。如果有本帖这条自定义防御规则,只要将easyrecovery6.12加入白名单中,它的运行并不受此规则影响。



最后编辑baohe 最后编辑于 2009-02-06 22:50:32
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT