Как создать в uVS новый критерий поиска

отредактировано October 2022 Раздел: Инструкции и рекомендации
Чтобы создать новый критерий поиска вредоносного объекта, открываем окно "Информация" по данному объекту, внимательно изучаем описание данного объекта, и определяем те поля(атрибуты) и значения, по которым может быть выполнен устойчивый поиск данного объекта как в этом образе автозапуска, так и в других образах с типовым заражением (или проблемой).




для объекта C:\WINDOWS\xored.sys видим, что такими данными могут быть
Ссылки на объект            
Ссылка HKLM\System\CurrentControlSet\Services\newdriver\ImagePath
ImagePath \??\C:\WINDOWS\xored.sys
newdriver тип запуска: При инициализации ядра (1)
формируем новый критерий по атрибуту ссылка.



В качестве значения атрибута здесь удобно выбрать значение Services\newdriver, которое наверняка будет повторяться для данного вредоносного драйвера, пока вирусописатели не поменяют имя службы. Итак выбираем ссылка ~ (содержит) Services\newdriver
Операторы AND и OR здесь служат для создания составного (сложного критерия).



Вы так же можете создать на базе нового критерия newdriver* составной критерий с (учебной) целью детектирования данного вредоносного драйвера. Используем другой атрибут для создания сложного критерия, например: ImagePath.



В качестве значения для атрибута ImagePath выбираем xored.sys



в итоге в список критериев добавлен новый, составной критерий с детектированием вредоносного драйвера по имени xored.sys



Проверяем образ автозапуска по новому списку критериев, видим что новое правило _newdriver* детектирует данный драйвер.


Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.