辑来识别恶意文件或进程。编写规则出于本博客的目的我们将编写一些非常简单的规则。然而规则语法非常丰富请参阅指南。支持所有内置关键字包括在和子模块中定义的关键字。我写了一个简单的机器人来编写规则。要编写我们的第一条规则首先检查位于二进制文件中的一些字符串为便于阅读而缩短输出如您所见二进制文件包含一些相当独特的字符串。我们将仅使用这些字符串来编写我们的第一条规则编写规则只有当所有五个唯一字。
符串都位于文件中时才会触发上述规则。接下来我们将在中使用 斯洛文尼亚 WhatsApp 号码列表 规则文件。配置选择扫描目标并命名扫描后第一步是配置凭据。恶意软件文件系统扫描程序通过运行因此我们必须对其进行配置。这是 它在我的扫描仪中的样子凭据接下来我们将启用插件。为此您必须启用插件恶意进程检测和使用的恶意文件检测。您可以使用高级搜索功能并将恶意软件设置为真来轻松找到插件。这些插件将位于插件系列中。启用插件最后我们将上传我们的规则并选择要扫描的目录。
我们可以通过转到评估菜单中的恶意软件设置来做到这一点。如果启用扫描文件系统设置您可以通过单击添加文件链接添加规则文件。在下图中我已将新创建的规则上传到文件中。我已选择作为运行扫描的目录。上传规则完成这些步骤后我们就可以开始扫描了。出结果四分钟后扫描完成。我们可以看到在目标上找到了一些东西运行时结果向下钻取我们可以看到与我们在中的规则匹配。有问题的二进制文件甚至附加到扫描中。结果使用更多规则每次扫描。