瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件瑞星杀毒软件2011 瑞星工程师2009开发手记三:“木马行为编辑器”——大家一起防木马

1   1  /  1  页   跳转

瑞星工程师2009开发手记三:“木马行为编辑器”——大家一起防木马

瑞星工程师2009开发手记三:“木马行为编辑器”——大家一起防木马

我们非常重视“木马入侵拦截”(网站拦截和U盘拦截)这两个功能,试图将90%以上的流行木马病毒阻挡在电脑之外。但是没有万无一失的边境,一旦木马病毒进入电脑,那就要靠第二道防线—主动防御,在查杀病毒之前,先拦截住木马病毒的破坏行为。



09版的主动防御除了增强功能以外,还有一点就是基于互联网的。具体体现在“木马行为防御--木马行为编辑器”,对于很多资深电脑用户或者反病毒爱好者来说,用这个工具,可以自己添加木马行为防御规则,阻挡木马的破坏行为。用户自定义规则可以通过导入导出功能进行传播和分享。如果我们认为用户自定义的规则是非常有效的时候,会将这些规则升级为瑞星内置的防御规则,这样产品功能将不断增强,而且也给用户提供了更灵活的接口和展示自己的机会。



借助瑞星云安全网,会有很多非常优秀的用户自定义规则诞生。这样借助大家的力量,不断增强和完善主动防御,即使有病毒感染到电脑中,它也不能进行破坏了。这就是我们一直希望的“全民防御”。



下面简单介绍一下“木马攻击拦截行为编辑器”这个工具:


1、该工具包含【库信息】和【记录信息】两大部分,【库信息】就是添加、删除、导入、导出和生成规则的。【记录信息】就是具体对规则进行描述的,包含记录名称、敏感级别、规则作者、抽象的病毒特征、形象化的恶意指令序列等等。特别说一下,添加规则作者后,当规则生效时,在瑞星主动防御的弹出界面是可以看到作者名称的!:)



2、通过添加记录-添加名称、作者和病毒特征(强自复制,弱自复制,强自启动,弱自启动,释放服务程序,释放驱动程序,释放并加载远程动态库,释放并加载驱动,释放并加载全局钩子,激活释放的文件,释放WIN32_EXE文件,释放WIN32_DLL文件,释放内核EXE文件,释放内核DLL文件等,这些动作是几乎所有木马、蠕虫都会有的动作。木马攻击拦截将这些普遍动作定义为病毒特征,用于简单的、抽象的描述木马攻击行为中应包括的恶意动作。它是顺序无关的、参数无关的。-文件行为、注册表行为、API行为(有关联的、参数有关的)。最终生成一条完整的规则。



3、规则生成后,可以通过导出功能上报给瑞星公司和其他用户进行分享。




最后编辑麦青儿 最后编辑于 2008-10-27 11:30:04
分享到:
gototop
 

回复: 瑞星工程师2009开发手记三:“木马行为编辑器”——大家一起防木马

举例说明:以灰鸽子病毒为例。


首先看看这个灰鸽子做了什么:
1、病毒给自己做了个副本,C:\WINDOWS\GDNSRV.EXE





2GDNSRV.EXE给启动了。


3、灰鸽子经典的iexplore注入,导致了它必须启动IE进程。








gototop
 

回复: 瑞星工程师2009开发手记三:“木马行为编辑器”——大家一起防木马

那么,我们开始编写一条木马行为攻击记录,来针对灰鸽子,来一个“通杀”。

首先,我们新建一条记录,填上一些说明性质的信息。





接着,我们分析这个灰鸽子的行为,很显然,它需要“自我复制”,并且,这个“自我复制”,是灰鸽子自己发起的,它没有借助其他进程,那么,我们就可以定义一个病毒特征——“强自我复制”。
然后呢,它又运行了这个它释放的文件(C:\WINDOWS\GDNSRV.EXE),恰好是“激活释放的文件”这个病毒特征,那么,我们把这两个病毒特征选上,然后点确定,如下图:


最后我们就有了这样一条记录,别忘了点“将记录应用于木马行为防御”。





这样已经可以将这个灰鸽子的木马行为给拦截住了,运行这个灰鸽子病毒,瑞星木马行为防御就提示啦!
gototop
 

回复: 瑞星工程师2009开发手记三:“木马行为编辑器”——大家一起防木马



看到没,我的名字在上面,是我刚才添加的记录哦!

刚才稍微展示了下,但是总的来说,刚才的记录对木马行为的判定太简单了。我们再增加一些条件,将这个记录变得更加精确,这里,我就用“恶意指令序列”了。至少,灰鸽子会启动IE这个特点我就可以抓住了。好,下面开始添加这个“恶意指令”:被启动的进行的文件名是iexplore.exe



于是我们的记录就变成了这样:





还是点“将记录应用于木马行为防御”,再运行这个灰各鸽子,又报了,注意到红圈里的区别没?可疑程序是进程ID704iexplore.exe哦,这个进程可是灰鸽子的傀儡进程啊!!另外,相关的病毒文件:d:\gdnsrv.exec:\windows\gdnsrv.exe都被找到了,点击“隔离并删除”,好了,危机化解:)



gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT