回复: ms.exe木马自定义行为防御及其效果
原帖由 rstgl 于 2009-2-5 0:08:00 发表
释放DLL就报警太粗了,很多程序后台升级都会报的。我有一个巧妙的办法,绝对不会有任何误报。这类木马群病毒不是在每个程序目录都创建USP10.DLL吗?就利用这点,不管它创建USP10还是其他什么DLL。你可以在非系统盘如D盘创建一个目录命名为ABC或者其他任意名字,在里面复制一个程序文件,任意程序如记事本。用木马行为编辑器,编辑规则,文件规则,任意操作,目录名字符串是D:\abc.主文件类型数值等
1、这个帖子没谈usp10.dll的防御问题。
2、设想与现实是有差距的。使用瑞星2009的这个木马行为防御编辑器实现具体设想时尤其如此。你应该给出实际例子(哪怕是一个例子)证实你的设想成立。
