[03-11 14:25:43] 来源:http://www.67xuexi.com 电脑安全教程 阅读:85598次
VOFFSET=Trojan.Downloader.ED, 74433, 1, 6,
687474703A2F2F36342E36342E32302E35302F32373753457236372E657865, NS
VOFFSET=Trojan.Downloader.ED, 74485, 1, 14
687474703A2F2F6674702E74636D6C732E6F72672F7172415165562E657865, NS
这里的描述信息“Trojan.Downloader.ED”就是之前在论坛帖子上所述的出现问题的描述信息。尽管这些规则准确的工作原理,我不能说我已经100%确信是如何进行的,但这已经是到目前为止我所理解的东西:
VOFFSET: 某种用于字节匹配的偏移。无论是什么在等号之后的都是描述
74433和74485好像是数字签名标识符,
1,6和1.14好像是某种范围,后面我会再回过来看它们
是与VT上的一种恶意软件有关的URI的二进制编码格式
是与polyloader恶意软件加载程序有关的URI的二进制编码格式
NS: 没有关于这个是什么的线索
我想在应用这些规则时出现了偏移错误或误解。如果你使用规则中的范围作为那些字节模式匹配中的串分割符的话,那么在第一条规则中范围1-6表示“http:”,而另一条规则中的范围1-14表示“http://ftp.tc“。我猜开始的时候"http:"与每个地方都可以匹配上,可能NS是一个标记,用以指示部分匹配也是可以的,谁知道了。
我对MBAM检测为恶意软件的文件,做了一些检查,方法是首先执行Linux命令"strings -el
这是一件很有趣的事情去弄明白加密方法和实际的定义文件本身。我甚至尝试将我自己定义的字节模式放入到自定义的规则文件中,去看看它是否那样工作,而结果是确实如此。另外,要特别地感谢被我剥夺了睡眠的好友,你在凌晨4点为我制作出了解密工具,你知道自己是谁的。