论文部分内容阅读
上一期我们了解了“木马行为防御行为编辑器”的基本作用,今天我们来学习一下几种常见病毒行为的规则拆解。其实无论什么类型的木马、病毒,它们的病毒行为都是类似的,其常规操作包括:偷偷释放病毒文件,把释放的文件设为自启动,遍历硬盘目录(在文件夹中搜索)查找EXE文件并修改等。那么,针对这些常见的病毒破坏行为,我们应该如何建立“防御行为规则”呢?
例如:如果有一个病毒,进入电脑电脑后首先把自己复制多份,释放到系统文件夹中,然后搜索系统文件夹,找到系统EXE文件并破坏。那么我们就可以设定以下规则:
第一步:运行“木马行为规则编辑器”,单击左下方的“添加”,建立新规则。病毒记录名称设定为“病毒A”(这个名称可以自己指定,你甚至可以起名为“熊猫再烧香”),敏感级别默认为“中”。另外,作者一项你可以填写自己的名字、网名等,附加信息相当于注释,自己可以任意填写。
(1)
(2)
第二步:单击病毒特征后面的“指定”按钮,在弹出的对话框中选择“强自复制”。单击下方的“添加API”按钮,针对“病毒搜索系统文件夹”这个动作,在弹出的对话框中依次选择“查找文件→监控规则→目录名→包含”,在包含中设置为“?:\”(见图1),依次选择“监控规则→文件名”,将此处的包含设置为“EXE”。
第三步:针对“病毒破坏系统EXE”这个动作,单击“添加文件”,在弹出的对话框中选择“修改文件→主文件类型→数值”,将数值设置为2(见图2)。
这样,一个比较完整的规则就诞生了。单击左下方的“导出”按钮,可以将你编辑的规则导出为XML格式文件,上传到论坛分享,或者共享给你的QQ好友。如果你发现了合适的规则,可以单击左下方的“导入”按钮导入,从而使之成为瑞星杀毒软件主动防御方面的新规则。
小提示
这里的最后一项是可以自己填写的,如果病毒只搜索带有特定字符的目录,如包含“Windows”,你就可以在这一项里自己填写“Windows”。
例如:如果有一个病毒,进入电脑电脑后首先把自己复制多份,释放到系统文件夹中,然后搜索系统文件夹,找到系统EXE文件并破坏。那么我们就可以设定以下规则:
第一步:运行“木马行为规则编辑器”,单击左下方的“添加”,建立新规则。病毒记录名称设定为“病毒A”(这个名称可以自己指定,你甚至可以起名为“熊猫再烧香”),敏感级别默认为“中”。另外,作者一项你可以填写自己的名字、网名等,附加信息相当于注释,自己可以任意填写。
(1)
(2)
第二步:单击病毒特征后面的“指定”按钮,在弹出的对话框中选择“强自复制”。单击下方的“添加API”按钮,针对“病毒搜索系统文件夹”这个动作,在弹出的对话框中依次选择“查找文件→监控规则→目录名→包含”,在包含中设置为“?:\”(见图1),依次选择“监控规则→文件名”,将此处的包含设置为“EXE”。
第三步:针对“病毒破坏系统EXE”这个动作,单击“添加文件”,在弹出的对话框中选择“修改文件→主文件类型→数值”,将数值设置为2(见图2)。
这样,一个比较完整的规则就诞生了。单击左下方的“导出”按钮,可以将你编辑的规则导出为XML格式文件,上传到论坛分享,或者共享给你的QQ好友。如果你发现了合适的规则,可以单击左下方的“导入”按钮导入,从而使之成为瑞星杀毒软件主动防御方面的新规则。
小提示
这里的最后一项是可以自己填写的,如果病毒只搜索带有特定字符的目录,如包含“Windows”,你就可以在这一项里自己填写“Windows”。