Как создать в uVS новый критерий поиска
Чтобы создать новый критерий поиска вредоносного объекта, открываем окно "Информация" по данному объекту, внимательно изучаем описание данного объекта, и определяем те поля(атрибуты) и значения, по которым может быть выполнен устойчивый поиск данного объекта как в этом образе автозапуска, так и в других образах с типовым заражением (или проблемой).
для объекта C:\WINDOWS\xored.sys видим, что такими данными могут быть
В качестве значения атрибута здесь удобно выбрать значение Services\newdriver, которое наверняка будет повторяться для данного вредоносного драйвера, пока вирусописатели не поменяют имя службы. Итак выбираем ссылка ~ (содержит) Services\newdriver
Операторы AND и OR здесь служат для создания составного (сложного критерия).
Вы так же можете создать на базе нового критерия newdriver* составной критерий с (учебной) целью детектирования данного вредоносного драйвера. Используем другой атрибут для создания сложного критерия, например: ImagePath.
В качестве значения для атрибута ImagePath выбираем xored.sys
в итоге в список критериев добавлен новый, составной критерий с детектированием вредоносного драйвера по имени xored.sys
Проверяем образ автозапуска по новому списку критериев, видим что новое правило _newdriver* детектирует данный драйвер.
для объекта C:\WINDOWS\xored.sys видим, что такими данными могут быть
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\newdriver\ImagePath
ImagePath \??\C:\WINDOWS\xored.sys
newdriver тип запуска: При инициализации ядра (1)
формируем новый критерий по атрибуту ссылка.В качестве значения атрибута здесь удобно выбрать значение Services\newdriver, которое наверняка будет повторяться для данного вредоносного драйвера, пока вирусописатели не поменяют имя службы. Итак выбираем ссылка ~ (содержит) Services\newdriver
Операторы AND и OR здесь служат для создания составного (сложного критерия).
Вы так же можете создать на базе нового критерия newdriver* составной критерий с (учебной) целью детектирования данного вредоносного драйвера. Используем другой атрибут для создания сложного критерия, например: ImagePath.
В качестве значения для атрибута ImagePath выбираем xored.sys
в итоге в список критериев добавлен новый, составной критерий с детектированием вредоносного драйвера по имени xored.sys
Проверяем образ автозапуска по новому списку критериев, видим что новое правило _newdriver* детектирует данный драйвер.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.