木马行为防备编辑器使用帮助.docVIP

木马行为防御说明 木马行为防御介绍 木马行为防御功能基于程序实时监控系统，处理来自实时监控系统的程序动作通知，包括文件操作、注册表操作、进程起停、系统关键API操作，并对这些通知进行处理，最终发现木马攻击行为。 木马行为防御将存在联系的程序组织在一起，对他们的动作历史进行记录和分析，从而发现这组程序是否存在恶意动作。 木马行为防御通过一组规则来描述“判定某种木马攻击行为所需要满足的（多个）恶意动作”，并将发现的恶意动作同这组规则进行匹配，当这组规则被满足时，木马行为防御则成功发现了一个木马攻击行为。这些规则由抽象的“病毒特征”和形象化的“病毒恶意指令序列”组成，在这里，我们称它为“记录”。在“记录”中，还包含了其他必要的信息，例如名字、描述性文字、作者、所处敏感级。 木马行为防御对计算机病毒的普遍动作做了抽象，例如：自我复制，建立自启动关联，这些动作是几乎所有木马、蠕虫都会有的动作。木马行为防御将这些普遍动作定义为“病毒特征”，用于简单的、抽象的描述木马攻击行为中应包括的恶意动作。它是顺序无关的、参数无关的。 木马行为防御还采用了通知匹配机制，来解决用“病毒特征”描述木马带来的广泛性。木马行为防御将该机制称为“病毒恶意指令序列”，它是顺序相关的、参数相关的。“病毒恶意指令”其实为符合某中模式的程序动作通知。同时，程序的动作通知将携带具体的数据，例如创建文件操作，通知中将携带着创建该文件的进程ID以及被创建的文件的文件名。这些数据都可以通过针对当前通知的“字段名”来访问，并根据指定的匹配方法和数据进行匹配。 木马行为防御有三个敏感级别可以设置。敏感级别越高，参与工作的“记录”越多，可以发现的木马攻击行为自然也就越多。人为将更宽泛的“记录”，放置于更高的敏感级别，最终体现出的效果就是敏感级别越高，越容易发现木马攻击行为，同时，误判的概率也越大。 木马行为防御将“记录”分为两类：内部记录和用户自定义记录。 内部记录由官方制定，不但包括了用于描述木马攻击行为的“记录”，还???含了木马行为拦截运行时需要的一些数据，主要有用于“木马自启动”的分析（监视哪些自启动注册表项）和“进程退出时扫描”所需的特征串。 用户自定义记录由用户制定。使用“木马行为拦截行为编辑器”可以创建或者修改记录。它在功能上属于内部记录的子集，但是已经可以满足用户定义木马攻击行为的要求。 木马行为防御行为编辑器简介 木马行为防御行为编辑器属于瑞星工具，是用于管理木马行为防御自定义记录的可视化工具。 该工具具有较友好的用户界面，用户只要通过填写一些文字、选择一些预设项目，就可以完成对木马行为的描述。 该工具可以添加、修改、删除用户自定义记录，并能立即应用至木马行为防御功能。 自定义记录的组成 自定义记录由病毒记录名称，敏感级别，作者，附加信息，病毒特征，病毒恶意指令序列这六大部分组成。 记录名称，作者，附加信息 这三项属于注释性字段，都用来对该自定义记录进行描述的。该记录成功被触发后，“木马行为拦截”弹出提示框时，会将这些信息组织后回显给用户。 敏感级别 如图所示，敏感级别有三种选择：高，中，低。对应木马攻击防御设置中的“高中低“。 高敏感度的记录，仅在木马攻击防御设置为“高敏感”时有效。 中敏感度的记录，在木马攻击防御设置为“高敏感”、“中敏感”时有效。 低敏感度的记录，在木马攻击防御设置为“高敏感”、“中敏感”，“低敏感”时都有效。 与之对应的瑞星主动防御设置由下图所示： 病毒特征 如图所示，病毒特征无法自由编辑，只能选择“木马攻击防御”已经定义好的特征，用户可以根据需要不选择，选择一个或多个来描述当前木马行为的“病毒特征”。 这些已定义好的特征及概述如下： 强自复制，程序通过自己复制自己，例如A.exe复制自己为B.exe。 弱自复制，程序通过他人复制自己，例如A.exe启动cmd.exe运行某.bat来将自己复制为B.exe。 强自启动，程序将自己注册为自启动的，例如A.exe写注册表，把A.exe设置为自启动。 弱自启动，程序将别人注册为自启动的，例如A.exe写注册表，把C.exe设置为自启动，但是A.exe和C.exe两个文件不同。 释放服务程序，释放可执行文件，并将其注册为Windows系统服务，例如A.exe释放d.exe，并将其注册为Windows系统服务。 释放驱动程序，释放可执行文件，并将其注册为内核驱动，例如A.exe释放e.sys，并将其注册为内核或者文件系统驱动。 释放并加载远程动态库，释放动态库，并将其注入到其他进程中。例如A.exe释放f.dll，并使用CreateRemoteThread启动LoadLibrary，将f.dll加载到其他进程中。 释放并加载驱动程序，释放驱动程序，并将其加载到系统中。例如A.exe释放e.sys，并主