解析——红伞的排除

aseioteur

前面我们翻译了红伞中关于排除的部分说明，但对于其具体的执行情况我们还是不太了解。今天我们来做实际验证一下。
前面部分见：
http://bbs.kafan.cn/thread-321529-1-1.html

1.监控进程排除

因为红伞默认识别进程的前15个字符，所以前面我们担心可能会被病毒利用，于是我们利用红伞对注册机比较敏感，将注册机改名为abcdefghijklmnopq.exe(前提：注册机所处路径被事先监控排除，这样我们才能操作)，并将其列入进程排除中，红伞默认录入前15位，也就是abcdefghijklmnopq。

此时我们复制注册机到任何未被监控排除的位置，如桌面。结果红伞报警同样设置更长的文件名abcdefghijklmnopqrst.exe，因为他们前15位字符相同，所以红伞视为相同，结果依然报警。

看来进程排除看似有漏洞实际上并非如此，因为我们对文件的创建和更改，首先触发的是文件监控。其运行以后，才会触发到进程监控。

OK,按照这个推测，我们再将abcdefghijklmnopq.exe加入文件排除，果然，监控不再报警。

我们顺便做了通配符的试验，当加入abcdefghijklmn*或者abcdefghijklmn???.exe后监控都不再报警，可见通配符的在监控排除中是有效的。完整路径的排除也是和红伞说明中的符合，如果是排除某个文件夹，那么我们在路径的最后要加上"\"（实际上除非手动输入，默认红伞会在后面自动补加"\"），这里我们去掉这个"\"，红伞报警。另外在排除的文件夹下，建立子文件夹，并复制abcdefghijklmnopq.exe，红伞也不报警。红伞的的排除包含路径的所有子路径。

注意:文件监控排除路径中不能使用系统的变量，例如我们将病毒文件夹复制到windows目录，在排除里输入%windir%\New Folders\，结果我们打开windows目录下的"New Folders"这个文件夹，红伞报警。同样在排除路径当中也不能使用"*"和"?"通配符，否则无效。如不能将C:\WINDOWS\写成C:\*\

但在完整路径后面加上加上"*"和不加效果相同
如C:\WINDOWS\ == C:\WINDOWS\*

"?"有点特殊，比较有意思，举个例子，我们将abcdefghijklmnopq.exe复制一份并改名为abcdef.exe。
好了我们在文件排除里加入C:\WINDOWS\New Folders\???????????????.???或其他形式如C:\WINDOWS\New Folders\abc????????????.exe。
这样我们打开New Folders这个文件夹你会发现abcdefghijklmnopq.exe不再报警（因为它符合???????????????.???这个表达式），而abcdef.exe报警，此时我们再建子文件夹，其中同样包含上面两个文件，结果还是abcdefghijklmnopq.exe不报警，而abcdef.exe报警，可见"?"在这里也能起到条件排除呢！！！



注：本来想试验下进程排除和文件排除的优先性问题，但因为没有装虚拟机所以不敢以身试毒。
这里我们猜想一下，红伞的监控分为两层，第一层为文件监控，如果符合排除条件，这样允许其复制，删除和修改，但一旦其运行，则触发进程监控，如果是病毒还是会被红伞识别。因为，我使用注册机，可能包含恶意代码被红伞识别，但一旦加入文件排除以后，运行起来也不会报警，可能注册机运行时没有病毒特征吧。希望那位兄弟有兴趣可以验证一下，告诉大家结果哦。


2.扫描排除

之所以后面将扫描排除放在后面说，是因为如果不实现文件排除，红伞会一直不停的报警。
我们还是以上面的abcdefghijklmnopq.exe为例，我们在文件排除里将它排除，方便我们操作。首先，我们新建一个文件夹，将abcdefghijklmnopq.exe复制到里面，在扫描排除里我们将这个文件夹排除。好了，我们扫描，结果很奇怪无论我们如何录入排除路径，包括反复试验加减"\"，结果都是一样，红伞报警。
仔细考虑了以后，可能是红伞默认不扫描该文件，而我们直接手动扫描，相当于强制执行扫描，红伞也只好执行。


于是我们在这位文件下新建一个子文件，将abcdefghijklmnopq.exe复制到里面，也就是两层文件夹，扫描排除路径设为第二层文件夹。再次扫描第一层文件夹。OK，不再报警，红伞默认跳过第二层文件夹。看来前面的推断是正确的。
在前面翻译红伞说明的时候我们注意到这样一段

Note

If you add a complete partition to the list of the file objects, only those files which are saved directly under the partition will be excluded from the scan, which does not apply for files in sub-directories on the corresponding partition:Example: File object to be skipped: D:\  =  D:\file.txt will be excluded from the scan of the Scanner, D:\folder\file.txt will not be excluded from the scan.

注意：

如果您加入排除对象的完整路径，只有那些直接保存在路径下面的文件将被排除，而不适用于相对路径的子文件夹下面的文件。例如：您在排除里面添加D:\ 那么类似D:\file.txt这样的文件将会在扫描中被忽略，而如D:\folder\file.txt这样的子目录中的文件依然会被扫描。

我们再来验证一下，我们在刚才的文件夹下再次新建一个文件夹，并复制abcdefghijklmnopq.exe，也就是三层文件夹，扫描排除设置不变，依然排除第二层文件夹。按照说明，红伞应该排除第二层病毒文件，而扫描出第三层的病毒文件来。

实际上，我们发现红伞并不报警。反复试验都是这样，包括建立第四层文件夹，也是如此。

后来我们看了一下红伞扫描的report，发现，红伞扫描到第二层以后就不再继续扫描。

那是不是红伞的说明有误呢，实际上仔细比较发现，说明给出的都是直接的文件，而我们排除的是文件夹，这样我们将第二个文件夹下面的abcdefghijklmnopq.exe设为排除，扫描四层文件夹可以查处2个病毒，即排除掉第二层的abcdefghijklmnopq.exe，剩余第三和第四层的abcdefghijklmnopq.exe都被扫描出来，呵呵，与说明吻合了。


因为在说明里没有直接提到扫描排除里使用通配符的内容，我们也做了一下研究。结果我们发现，在单独排除某个文件名时可以使用通配符，例如我们直接将"*"加入排除，那么我们扫描时会直接忽略所有文件。当然"?"也是支持的。

同时路径中也能使用系统的变量

例如我们将上面的四层文件夹复制到windows目录，在排除里输入%windir%\New Folders\New Folders，对第一层New Folders扫描，红伞只包第一层目录下的病毒，查看report，就会发现红伞将第二层以下的路径直接忽略了。


注意
试验中我们发现，在扫描排除中路径后面加不加"\"效果是一样的。都默认为文件夹。
如C:\WINDOWS == C:\WINDOWS\
但不能另外加上"*"如C:\WINDOWS\*，则默认排除无效。同样"?"也不再适用。当然路径中的"*"和"?"更加无效了。可见红伞对于扫描还是把握的比较严格。
[:27:]
上面都是本人的亲自验证，如果有什么不对的地方，希望和大家一起讨论！！！
本来想贴图的，但不知道怎么把图弄到文字里，附件里看起来就怎么顺畅了。


[ 本帖最后由 aseioteur 于 2008-9-5 18:38 编辑 ]

aseioteur

如果你觉得本文对你有帮助，希望帮顶一下哦

如果你觉得上面的太繁琐，下面是简单的总结
1.进程监控排除，可能依赖于文件监控排除，有待进一步验证
2.文件监控排除，
   a.支持文件名直接排除，文件名可以使用通配符"*"和"?"
   b.完整路径排除不支持系统变量，路径末尾需要补加"\",路径中间不能使用通配符"*"和"?"，末尾加不加"*"效果相同，"?"
     有特殊效果
3.扫描排除
   a.支持文件名直接排除，文件名可以使用通配符"*"和"?"
   b.完整路径排除支持系统变量，路径末尾可以不加"\"效果相同,路径中间不能使用通配符"*"和"?"，末尾不能添加"*"和"?"
      否则设置无效，"?"未发现特殊用法。

[ 本帖最后由 aseioteur 于 2008-9-5 18:54 编辑 ]

流动的云

顶！支持原创文章

秘书

支持原创

深度扫描

学习。。。。。。。。。。。。

aseioteur

谢谢各位的支持

asinasina

很好的文章啊～出了一点..最开始的链接有点问题
好文章支持～

aseioteur

开始写是时候，链接是有点问题，后面改过来了。
但要多刷新几次才能看到。谢谢支持