测试病毒，EQ必备规则－marksu版

marksu2006

昨天写好一个规则.我今天测试病毒时发现这个规则，可以记录病毒的每一个运行轨迹。

思路：

\Program Files\**和\WINDOWS\**下的程序是可以自由运行的，其它位置的程序都要得到认可方能运行，同时保护好这2个文件夹不让其它的未知程序写入运行文件.这样可以大减少我们的排除工作.

就是这个思路的结果.

下载到：
http://bbs.kafan.cn/viewthread.php?tid=198992

下面以测试玩笑程序－闪动窗口.exe　测试为例：
样本：http://bbs.kafan.cn/viewthread.php?tid=197900&extra=page%3D1

日志为：


2008-02-06 22:02:45    运行应用程序      操作:允许
进程路径:C:\Program Files\WinRAR\WinRAR.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
触发规则:黑名单->临时文件夹－限制运行->%systemdrive%\*\Temp*\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\Prefetch\闪动窗口.EXE-04C6F761.pf
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\IMM32.DLL
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\IMM32.DLL
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\IMM32.DLL
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\LPK.DLL
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\USP10.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\WINMM.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\WINSPOOL.DRV
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\OLEPRO32.DLL
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\WS2HELP.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\COMCTL32.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\COMCTL32.dll.124.Manifest
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\COMCTL32.dll.124.Config
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\SHELL32.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\SHELL32.dll.124.Manifest
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\SHELL32.dll.124.Config
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\WindowsShell.Manifest
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:45    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\WindowsShell.Manifest
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:46    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\WindowsShell.Manifest
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:46    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\WindowsShell.Config
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:48    修改注册表内容      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->3.未知程序-禁止访问注册表->*->HKEY_*\*


2008-02-06 22:02:48    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\rpcss.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:50    修改注册表内容      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->3.未知程序-禁止访问注册表->*->HKEY_*\*


2008-02-06 22:02:50    修改注册表内容      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->3.未知程序-禁止访问注册表->*->HKEY_*\*


2008-02-06 22:02:51    修改注册表内容      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->3.未知程序-禁止访问注册表->*->HKEY_*\*


2008-02-06 22:02:51    修改注册表内容      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->3.未知程序-禁止访问注册表->*->HKEY_*\*


2008-02-06 22:02:51    修改注册表内容      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->3.未知程序-禁止访问注册表->*->HKEY_*\*


2008-02-06 22:02:51    修改注册表内容      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->3.未知程序-禁止访问注册表->*->HKEY_*\*


2008-02-06 22:02:52    修改注册表内容      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->3.未知程序-禁止访问注册表->*->HKEY_*\*


2008-02-06 22:02:52    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\uxtheme.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:52    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\uxtheme.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:52    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\msctfime.ime
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:52    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\msctfime.ime
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:52    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\msctfime.ime
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:52    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\msctfime.ime
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:52    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\msctfime.ime
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:02:52    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.297\闪动窗口.exe
文件路径:C:\WINDOWS\system32\msctfime.ime
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    运行应用程序      操作:允许
进程路径:C:\Program Files\WinRAR\WinRAR.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
触发规则:黑名单->临时文件夹－限制运行->%systemdrive%\*\Temp*\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\Prefetch\闪动窗口.EXE-30A1B859.pf
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\IMM32.DLL
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\IMM32.DLL
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\IMM32.DLL
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\LPK.DLL
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\USP10.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\WINMM.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\WINSPOOL.DRV
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\OLEPRO32.DLL
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\WS2HELP.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\COMCTL32.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\COMCTL32.dll.124.Manifest
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\COMCTL32.dll.124.Config
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\SHELL32.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\SHELL32.dll.124.Manifest
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:26    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\SHELL32.dll.124.Config
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:27    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:27    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:27    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:27    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\WindowsShell.Manifest
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:27    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\WindowsShell.Manifest
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:27    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\WindowsShell.Manifest
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:03:27    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\WindowsShell.Config
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:04:00    修改注册表内容      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->3.未知程序-禁止访问注册表->*->HKEY_*\*


2008-02-06 22:04:00    读取文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
文件路径:C:\WINDOWS\system32\rpcss.dll
触发规则:应用程序规则->3.未知程序-文件运行访问管制->*->%Windir%\*


2008-02-06 22:04:35    修改注册表内容      操作:允许
进程路径:C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX03.625\闪动窗口.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:应用程序规则->3.未知程序-禁止访问注册表->*->HKEY_*\*



备注：结束进程方法
1.任务管理器
2.方向键
3.点右＂ctrl＂左侧第一键，出现＂结束进程树＂，两回车.

[ 本帖最后由 marksu2006 于 2008-2-7 19:41 编辑 ]

gho

期待你的大作，附件呢

冷冷

。。。。。。。。。？
没有附件

promised

发hips区吧

FBAV

东西？

深红的雪

不是我打击你，这种规则用来测试病毒是不完善的，会漏的太多了

marksu2006

原帖由 rappar 于 2008-2-6 23:19 发表
不是我打击你，这种规则用来测试病毒是不完善的，会漏的太多了

应该不会吧！你测试过了不？未知程序的弹框太多了.

深红的雪

不要说“应该不会”..........
如果要测试的话，这个应该自己去做。

之前在HIPS区就看过你的规则了，安全性并不过关。本来不想说什么的，不过既然你发到这里来，我就提醒一下：
如果用你的规则测试病毒的话，会死得很难看，就这样
希望楼主可以认真研究一下，不光是规则，还有EQ和系统本身

[ 本帖最后由 rappar 于 2008-2-7 02:22 编辑 ]

ALEXBLAIR

最有效的就是
[:27:]
*，允许，日志记录
[:26:] 《沙盒或者虚拟机为前提~~》

深红的雪

A版这么晚还不睡