Как создать в uVS новый критерий поиска
Чтобы создать новый критерий поиска вредоносного объекта, открываем окно "Информация" по данному объекту, внимательно изучаем описание данного объекта, и определяем те поля(атрибуты) и значения, по которым может быть выполнен устойчивый поиск данного объекта как в этом образе автозапуска, так и в других образах с типовым заражением (или проблемой).

для объекта C:\WINDOWS\xored.sys видим, что такими данными могут быть

В качестве значения атрибута здесь удобно выбрать значение Services\newdriver, которое наверняка будет повторяться для данного вредоносного драйвера, пока вирусописатели не поменяют имя службы. Итак выбираем ссылка ~ (содержит) Services\newdriver
Операторы AND и OR здесь служат для создания составного (сложного критерия).

Вы так же можете создать на базе нового критерия newdriver* составной критерий с (учебной) целью детектирования данного вредоносного драйвера. Используем другой атрибут для создания сложного критерия, например: ImagePath.

В качестве значения для атрибута ImagePath выбираем xored.sys

в итоге в список критериев добавлен новый, составной критерий с детектированием вредоносного драйвера по имени xored.sys

Проверяем образ автозапуска по новому списку критериев, видим что новое правило _newdriver* детектирует данный драйвер.


для объекта C:\WINDOWS\xored.sys видим, что такими данными могут быть
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\newdriver\ImagePath
ImagePath \??\C:\WINDOWS\xored.sys
newdriver тип запуска: При инициализации ядра (1)
формируем новый критерий по атрибуту ссылка.
В качестве значения атрибута здесь удобно выбрать значение Services\newdriver, которое наверняка будет повторяться для данного вредоносного драйвера, пока вирусописатели не поменяют имя службы. Итак выбираем ссылка ~ (содержит) Services\newdriver
Операторы AND и OR здесь служат для создания составного (сложного критерия).

Вы так же можете создать на базе нового критерия newdriver* составной критерий с (учебной) целью детектирования данного вредоносного драйвера. Используем другой атрибут для создания сложного критерия, например: ImagePath.

В качестве значения для атрибута ImagePath выбираем xored.sys

в итоге в список критериев добавлен новый, составной критерий с детектированием вредоносного драйвера по имени xored.sys

Проверяем образ автозапуска по новому списку критериев, видим что новое правило _newdriver* детектирует данный драйвер.

Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.