。。。。。。关于D+的“启发式命令行分析”

抓抓

曾开启V5版D+的“启发式命令行分析”测试过一个老样本：
（在“?:\Program Files\*\”目录下测试。）


发现一只事件,,,,,

事情的结果是没防住这个样本（下图日志）:


然后我取消“启发式命令行分析”这一项后再测试这个样本，，发现此时防住了这个样本（下图日志）:


两种情况下的日志差别较大。。。

目前不太清楚“启发式命令行分析”原理，，（难道开启这个功能后，程序在运行的过程调用其它系统程序的行为会被屏蔽掉？），

有知情者乎？？

抓抓

以前V3版是防不住这个老样本的。。。现在V5可以。。。

V5加强了键盘访问保护、也可以防属性修改、防文件夹。。。


特别是FW防火墙部分，在局域网内对UDP包的控制很彻底，，这个比V3力度强太多了。。

qqq123123

曾开启V5版D+的“启发式命令行分析”测试过一个老样本：
（在“?:\Program Files\*\”目录下测试。）


...
抓抓 发表于 2010.9.25 21:32

当开启启发分析的时候，图中的红色部分是记录的，关闭的时候是不记录的...还是存在细微差别的...貌似只是日志不同？

zlj_lf

以前V3版是防不住这个老样本的。。。现在V5可以。。。

V5加强了键盘访问保护、也可以防属性修改、防文件 ...
抓抓 发表于 2010.9.25 21:36

抓兄，好久不见。你该要出个WIN7的安静规则了吧。。。

vvvv1000

以前V3版是防不住这个老样本的。。。现在V5可以。。。

V5加强了键盘访问保护、也可以防属性修改、防文件 ...
抓抓 发表于 2010.9.25 21:36

我测试一个很老的VBS的样本，你所说的可以防属性修改、防新建文件均没有实现。

抓抓

回复 3楼 qqq123123  的帖子

在我当时的规则中开启“启发...”后，，，可以从进程列表中看到cscript.exe没被调用过。。
关闭“启发...”后，cscript.exe被调用。。。

再说，如果只是记录上的不同，为什么开启之后防不了，，关闭之后反而防住了。。。
   

抓抓

回复 4楼 zlj_lf  的帖子

呵呵，，WIN7的安静规则我看你可以替大家去搞一搞啊，，，

不过win7本身就很安全了，，，觉得搞不搞意义不是很大。。。
   

zlj_lf

回复

呵呵，，WIN7的安静规则我看你可以替大家去搞一搞啊，，，

不过win7本身就很安全了，，，觉得搞 ...
抓抓 发表于 2010.9.25 22:07

   想搞安静规则，很难超越你那个框架了。。。哈哈，搞了也是半个抄袭吧。。。
    抓兄的安静规则，有的地方还是有的更新更新的哦。。。。
要不我来帮你更新下。。。

抓抓

回复 8楼 zlj_lf  的帖子


  好啊，，，你有空可以搞搞看，，，不过V3规则就那样了，，搞不搞也没多少影响，，顶多整理整理显得好看些。。。

刚才在安静规则里增加了V5规则，，V5版规则是我从头开始一条一条地添加进去的，，有小部分调整，，你看看还有没有什么需要修改的，，，

zlj_lf

回复


  好啊，，，你有空可以搞搞看，，，不过V3规则就那样了，，搞不搞也没多少影响，，顶多整理整理 ...
抓抓 发表于 2010.9.25 22:24

既然你自己搞了，肯定没啥问题。。。哈哈。。。有空试下你的V5.。。

有空常来看看。。
PS：V5可以把V3的规则包直接导进去