关于木马行为编辑器的问题
原来对木马行为编辑器编了规则苦于无法验证。后来想出了制作全隐藏的自解压程序发现可以用来验证规则是否有效。用这类自解压程序曾经验证一些规则是有效的,其中这样一条规则:创建文件,主文件类型数值等于2,目录名正则表达式C:\\Program Files|D:\\Program Files对这两个目录的子目录也是有效的。现在用全隐藏自解压程序来验证已经无效了。木马行为防御已经对全隐藏自解压程序不起作用了,就像对带窗口程序一样。用VBS脚本后台运行全隐藏自解压程序也不起作用。苦于无法再次验证规则有效性了很久,终于又发现了一个办法。某个绿色程序运行后会在后台释放一个程序运行,木马行为防御会根据触发相应规则而报。但是我却发现,当我选择仅放过文件和隔离并删除其结果都是一样,相关文件得以创建并未删除,释放的程序未能运行。也就是说隔离并删除无效。仅放过文件有效。另外更糟糕的是当你删除相关文件并再次运行该程序时,该程序释放程序并运行,效果相当于添加入信任名单。因为选择信任,程序也是不能运行,而要再次运行时才会不拦。而现在选择隔离并删除和仅放过文件其效果和添加入信任名单一样。我用这个程序来验证规则,固然证明规则是有效的,但是却发现上述漏洞,另外发现上面提到的正则表达式规则,对其子目录无效了,不知道是什么原因。另外病毒非得不带窗口吗?对VBS脚本病毒,BAT病毒,利用自解压程序的病毒怎么防呢?
万事达回复:此问题已反馈瑞星。
