CHKLST.RU

Как создать в uVS новый критерий поиска

отредактировано April 2016 Раздел: Инструкции и рекомендации
Чтобы создать новый критерий поиска вредоносного объекта, открываем окно "Информация" по данному объекту, внимательно изучаем описание данного объекта, и определяем те поля(атрибуты) и значения, по которым может быть выполнен устойчивый поиск данного объекта как в этом образе автозапуска, так и в других образах с типовым заражением (или проблемой).

image

для объекта C:\WINDOWS\xored.sys видим, что такими данными могут быть
Ссылки на объект            
Ссылка HKLM\System\CurrentControlSet\Services\newdriver\ImagePath
ImagePath \??\C:\WINDOWS\xored.sys
newdriver тип запуска: При инициализации ядра (1)
формируем новый критерий по атрибуту ссылка.

image

В качестве значения атрибута здесь удобно выбрать значение Services\newdriver, которое наверняка будет повторяться для данного вредоносного драйвера, пока вирусописатели не поменяют имя службы. Итак выбираем ссылка ~ (содержит) Services\newdriver
Операторы AND и OR здесь служат для создания составного (сложного критерия).

image

Вы так же можете создать на базе нового критерия newdriver* составной критерий с (учебной) целью детектирования данного вредоносного драйвера. Используем другой атрибут для создания сложного критерия, например: ImagePath.

image

В качестве значения для атрибута ImagePath выбираем xored.sys

image

в итоге в список критериев добавлен новый, составной критерий с детектированием вредоносного драйвера по имени xored.sys

image

Проверяем образ автозапуска по новому списку критериев, видим что новое правило _newdriver* детектирует данный драйвер.

image
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.