请您按照模板格式提交相关信息:
操作系统及补丁情况:vista home sp1
浏览器及版本:ie7 火狐
瑞星软件版本:ris 21.16.05
问题现象:误报太重
出现问题前的操作步骤:试用了卡卡论坛提供的规则包
问题能否复现:(必现)
发现行为编辑器所编辑的规则太单一(上传规则包),举个例子:“卸载程序时,被卸载的程序在后台启动ie,收集反馈信息,而此时木马防御引擎就报病毒,是否隔离?”-----------上述程序只是启动ie就被报了!!!是否可以改进为规则集。我的意思是当未知进程符合第一条规则,然后进行第二条规则的比对,若再触发进行第三条规则。。。
举例说明-----被卸载的程序启动ie后,行为分析引擎马上进入第二条规则比对,监控ie是否偷偷下载exe或试运行,若符合此条则报警!!!
x也是行为分析,但它的行为分析是是一个规则集,判定一个病毒,是靠数个规则来判断的。而09的行为分析是一条定乾坤,只要符合一条,就报毒-------这样误报就太高了!!!请改进!!!
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4附件:
木马行为防御自定义规则范例.rar